CSA复习7 SELINUX

最新推荐文章于 2023-10-28 18:53:48 发布
最新推荐文章于 2023-10-28 18:53:48 发布
阅读量126 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AwesomeWang7/article/details/116159024
版权

发现一个问题,当真实主机开启火墙时,虚拟机中的dnf会无法通过网络软件仓库访问dnf源,每次都需要在真实主机中关闭火墙。关闭火墙后,地址伪装也关闭,虚拟机就无法上网

这是因为火墙中没有设置允许httpd服务。在真机执行

[root@westos Desktop]# firewall-cmd --permanent --add-service=http
success
[root@westos Desktop]# firewall-cmd --reload 
success

一.环境配置
selinux就是内核级别的火墙
安装vsftpd

[root@server8 ~]# rm -rf /etc/vsftpd/

[root@server8 ~]# dnf install vsftpd

[root@server8 ~]# chmod 775 /var/ftp/pub/
[root@server8 ~]# chgrp ftp /var/ftp/pub/
[root@server8 ~]# ls -ld /var/ftp/pub/
drwxrwxr-x. 2 root ftp 6 Feb 17  2020 /var/ftp/pub/

[root@server8 ~]# vim /etc/vsftpd/vsftpd.conf

在这里插入图片描述匿名用户的登录和上传都允许

[root@server8 ~]# systemctl restart vsftpd.service

二.selinux对系统功能的影响

[root@server8 ~]# vim /etc/selinux/config

在这里插入图片描述首先将selinux状态修改为disabled,重启系统才会生效
getenforce可以查看selinux的状态

[root@server8 ~]# getenforce 
Disabled

[root@server8 mnt]# touch test
[root@server8 mnt]# mv test /var/ftp/

在服务端建立一个测试文件,移动到ftp的发布目录中

[root@client8 ~]# lftp 172.25.254.244
lftp 172.25.254.244:~> ls
drwxrwxr-x    2 0        50              6 Feb 17  2020 pub
-rw-r--r--    1 0        0               0 Apr 26 08:18 test

在客户端可以查看到
当开启selinux的时候,匿名用户不能上传任何文件
这是selinux的安全上下文不匹配,安全上下文类似于一个认证
sebool SE波尔值

[root@server8 ~]# getsebool -a |grep ftp
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_home_dir --> off

查看ftp的波尔值

[root@server8 ~]# setsebool -P ftpd_anon_write 1

设置ftp的安全上下文为允许,on也可以
三.SElinux的基本控制

```powershell
vim /etc/selinux/config

修改selinux的状态为此文件
disabled关闭
enforcing强制模式
permissive警告模式
修改完毕以后都需要重启
四.selinux的安全上下文的管理

ls -Z    //查看文件的安全上下文
ls -Zd   //查看目录的安全上下文
ps axZ   //查看进程的安全上下文

临时修改安全上下文

[root@server8 mnt]# mkdir testdir1
[root@server8 mnt]# touch testdir1/haha
[root@server8 mnt]# ls -Zd testdir1/
unconfined_u:object_r:mnt_t:s0 testdir1/
[root@server8 mnt]# ls -Zd testdir1/haha 
unconfined_u:object_r:mnt_t:s0 testdir1/haha
[root@server8 mnt]# chcon -t public_content_t testdir1/
[root@server8 mnt]# ls -Zd testdir1/
unconfined_u:object_r:public_content_t:s0 testdir1/

chcon

[root@server8 mnt]# chcon -Rt public_content_t testdir1/
[root@server8 mnt]# ls -Z testdir1/haha 
unconfined_u:object_r:public_content_t:s0 testdir1/haha

加R递归改变安全上下文

[root@server8 mnt]# touch /.autorelabel

创建此文件相当于把selinux重启了一次

[root@server8 ~]# semanage fcontext -l |grep /var/ftp
/var/ftp(/.*)?                                     all files          system_u:object_r:public_content_t:s0 
/var/ftp/bin(/.*)?                                 all files          system_u:object_r:bin_t:s0 
/var/ftp/etc(/.*)?                                 all files          system_u:object_r:etc_t:s0 
/var/ftp/lib(/.*)?                                 all files          system_u:object_r:lib_t:s0 
/var/ftp/lib/ld[^/]*\.so(\.[^/]*)*                 regular file       system_u:object_r:ld_so_t:s0

查看安全上下文列表

[root@server8 mnt]# semanage fcontext -a -t public_content_t '/mnt/testdir1(/.*)?'

把测试的目录添加到安全上下文列表里,现在存在的和将来生成的安全上下文都会改变

[root@server8 testdir1]# semanage fcontext -l |grep /mnt/testdir1
/mnt/testdir1(/.*)                                 all files          system_u:object_r:public_content_t:s0 
/mnt/testdir1(/.*)?                                all files          system_u:object_r:public_content_t:s0

此时查看就能查到

[root@server8 testdir1]# restorecon -RvvF /mnt/testdir1
Relabeled /mnt/testdir1 from unconfined_u:object_r:mnt_t:s0 to system_u:object_r:public_content_t:s0
Relabeled /mnt/testdir1/haha from unconfined_u:object_r:public_content_t:s0 to system_u:object_r:public_content_t:s0
Relabeled /mnt/testdir1/hehe from unconfined_u:object_r:mnt_t:s0 to system_u:object_r:public_content_t:s0

vv详细,F刷新,R递归
永久固定安全上下文

[root@server8 testdir1]# touch xixi
[root@server8 testdir1]# ls -Z xixi 
unconfined_u:object_r:public_content_t:s0 xixi

新创建一个文件,查看它的安全上下文发现已经改变
五.selinux波尔值的管理

[root@server8 testdir1]# getsebool -a |grep ftp

查看波尔值

[root@server8 testdir1]# setsebool -P ftpd_anon_write on

更改波尔值,-p表示永久
六.selinux端口管理
selinux会限制端口的改变

[root@server8 ~]# setenforce 0

把selinux更改成警告模式

[root@server8 ~]# getenforce 
Permissive

下一步改变sshd的端口

[root@server8 ~]# vim /etc/ssh/sshd_config

在这里插入图片描述

[root@server8 ~]# netstat -antlupe|grep sshd
tcp        0      0 0.0.0.0:1111            0.0.0.0:*               LISTEN      0          46241      3049/sshd           
tcp        0      0 172.25.254.244:22       172.25.254.44:47424     ESTABLISHED 0          41472      2540/sshd: root [pr 
tcp6       0      0 :::1111                 :::*                    LISTEN      0          46243      3049/sshd  

[root@server8 ~]# setenforce 1

再把selinux的状态改成强制

[root@server8 ~]# systemctl restart sshd
Job for sshd.service failed because the control process exited with error code.
See "systemctl status sshd.service" and "journalctl -xe" for details.

此时sshd的重启会出现问题

[root@server8 ~]# semanage port -l |grep ssh
ssh_port_t                     tcp      22
[root@server8 ~]# semanage port -a -t ssh_port_t 1111 -p tcp
[root@server8 ~]# semanage port -l |grep ssh
ssh_port_t                     tcp      1111, 22
[root@server8 ~]# systemctl restart sshd
[root@server8 ~]# semanage port -d -t ssh_port_t 1111 -p tcp
[root@server8 ~]# semanage port -l |grep ssh
ssh_port_t                     tcp      22
[root@server8 ~]# vim /etc/ssh/sshd_config 
[root@server8 ~]# systemctl restart sshd
[root@server8 ~]#

此时要给selinux增加一个端口1111 -a添加
-d删除
七.selinux 的排错

[root@server8 ~]# > /var/log/messages
[root@server8 ~]# > /var/log/audit/audit.log

清空系统日志和selinux的警告信息日志

[root@server8 ~]# less /var/log/messages

此日志会产生selinux报错的解决方案

Awesome Wang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2022年RHCE认证考题解析最新版—RH294环境
cxyxt的博客
11-09 7351
由于本人10.17已成功考过CSA,经过两周所学的ansible并结合题库整理出来的CE解析版 我也是11月月底就要考了,不过这套解析也是可以满足今年的redhat8题库文中可能涉及一些命令的参数解释,如有不懂的伙伴可参考我的笔记Ansibleps:正文开始: 创建主机清单 修改配置文件 测试是否可以ping通 考试时可以开启两台终端,另一半负责查看模块帮助文档,在练习当中需记住模块的使用就好 [greg@control ansible]$ ansible-doc yum_repository
rhel7 selinux用户管理手册
07-19
Red Hat Enterprise Linux 7 SELinux User's and Administrator's Guide
Linux期末复习
Smartloe的博客
01-13 4862
Linux期末复习
SELinux简介与主要作用
粗浅的入门功夫
06-27 4611
SELinux,Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统 Linux 操作系统的安全性,解决传统 Linux 系统中自主访问控制(DAC)系统中的各种权限问题(如 root 权限过高等)。 传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统中的安全增强功能模块,它通过对进程和文件资源采用 MAC(强制访问控制方式)为 Linux 系统提供了改进的安全性。 SELinux 的 MAC 并不
CSA复习8 samba
AwesomeWang7的博客
04-27 196
一.SAMBA 1.windows系统共享文件时候用的协议是smb [root@server8 ~]# dnf install samba.x86_64 samba-common.noarch samba-client -y 安装samba [root@server8 ~]# smbpasswd -a chihao New SMB password: Retype new SMB password: Added user chihao. [root@server8 ~]# smbpasswd -a yi
CSA复习10 crontab
AwesomeWang7的博客
04-28 135
1.用户级别crontab设定方式 [root@server8 ~]# systemctl status crond.service 需要使用的话,开启crond服务 格式: * * * * * 每分钟 */2 * * * * 每两分钟 */2 * 09-17 * * 早9到晚5每两分钟 */2 09-17 3,5 1 5 一月的三号和五号以及每个周五早9晚5每两分钟执行一次 */2 */2 * * * 每隔两小时每两分钟 */2 09-17 * * 5 每周五早9到晚5每两分钟 minute
csa复习
2202_76007104的博客
10-28 50
添加一个用户、userdel 用户名(删除用户)、usermod(给用户设置权限)-s /sbin/nologin。(6)cat(查看文件内的内容)(more,less,head,tail)可以与grep和管道符叠加使用从而达到精确查找某一行或者精确信息。(7)cp 对文件进行复制(cp 要复制的文件名 复制的位置)(8)mv对文件进行移动(要移动的文件名 移动的位置)(1)touch 文件名(创建普通文件)(5)tree(将目录及文件信息递归显示)(2)mkdir 目录名(创建目录)
RHCSA
m0_62200715的博客
09-20 1269
RHCSA考试试题
SeLinux_AddPower
09-09
用于解决CentOs下SeLinux拦截nginx读取文件的问题 使用方法,把本脚本复制到站点根目录的父目录使用管理员权限运行
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
09-09
主要给大家介绍了关于CentOS 7系统下SELinux阻止MongoDB启动问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
redhat 7 官档之selinux 日语版
10-22
redhat 7 官方文档之selinux日语版,我填这个的时候页面报错说资源描述不能少于五十个字节。
2024年测风激光雷达行业分析报告.pptx
06-16
行业报告
mapreduce综合应用案例 - 招聘数据清洗.docx
06-16
招聘数据清洗是一个典型的大数据处理任务,可以通过MapReduce来实现高效且可扩展的数据清洗过程。下面是一个简单的招聘数据清洗的MapReduce应用案例: 输入数据准备:将招聘数据集划分为若干个块,每个块包含多条记录。 Map阶段: 每个Map任务负责处理一个数据块。 Map函数解析输入记录,提取关键字段,如职位名称、公司名称、薪资等。 对于每条记录,如果关键字段缺失或格式不正确,可以忽略或标记为错误数据。 输出中间键值对,其中键为职位名称,值为包含相关信息的自定义对象或字符串。 Reduce阶段: 所有Map任务的输出会根据职位名称进行分组。 Reduce函数对每个职位名称的数据进行处理,可以进行去重、合并、计数等操作。 根据需求,可以进一步筛选、过滤数据,如只保留特定行业或薪资范围的职位。 输出最终结果,可以保存为文件或存储到数据库中。 通过以上MapReduce应用,可以高效地清洗大规模的招聘数据,并提供结构化、准确的数据用于后续的分析和决策。此外,由于MapReduce具有良好的容错性和可扩展性,可以处理海量数据并在分布式环境中实现高性能的数据清洗任务。
Springboot+vue学生管理系统源码
06-16
Springboot+vue学生管理系统源码 idea导入后端项目,设置好依赖,运行SystemApplication.java 使用vscode或者hbuilderx等工具打开前端项目,运行即可 另外前端vue页打包成静态资源放到后端里面了,即便不运行前端vue项目也是可以的 如果需要修改,则使用npm run bulid重新打包,生成的前端代码,放到后端代码的resources的static目录下
学习数据结构和算法.zip
最新发布
06-16
大学生数据结构学习笔记和资料大全!
机器视觉课程概要及重点分析
06-16
适用于大学生的课程设计,报告等,包含图像处理等许多基础知识
xp系统安装.net框架包括镜像和.net4.0安装包
06-16
xp系统安装.net框架包括镜像和.net4.0安装包
centos7selinux
11-19
CentOS 7 默认安装了 SELinux,它是一个强制访问控制机制,可以提高系统的安全性。但是,有时候 SELinux 会限制一些操作,比如访问某些文件或目录。因此,我们可能需要关闭 SELinux 或者修改其配置。以下是一些常用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值