【踩坑】CentOS7部署Vulhub靶场后,在启动漏洞容器时弹出SELinux警告,致使网站无法正常执行文件上传功能。

已于 2022-07-01 02:41:59 修改
阅读量3.4k 收藏 6
点赞数 2
分类专栏: 踩坑记录 文章标签: 安全 web安全 运维
于 2022-03-08 21:09:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fighting_hawk/article/details/123362140
版权

目录

1 背景

  1. 为研究网络安全,本人准备在CentOS上部署Vulhub靶场来实现,部署过程参考文章《CentOS上部署Vulhub靶场》,部署过程一切顺利。
  2. 部署后,启动Nginx CVE-2013-4547漏洞进行实验,在上传文件时出现文件无法成功上传的问题,该问题并非由于网站对文件类型或内容的限制,而是其他方面的原因,一开始我以为是相关文件夹没有“文件写入”权限导致的,对所有文件都进行权限修改,然而没卵用。
    在这里插入图片描述
  3. 后来偶然在一次启动容器时,在屏幕的右上角发现系统弹出了SELinux警告(估计是之前将终端设置为全屏就没看到)。
    在这里插入图片描述
  4. 点开该通知,发现与写入权限有关,因此可能是这个原因导致漏洞环境执行失败。
    在这里插入图片描述

2 SELinux 概述

  1. 概述:SELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全。
    1. DAC 自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x权限进行限制。Root有最高权限无法限制。r,w,x权限划分太粗糙。无法针对不同的进程实现限制。
    2. SELinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有一个安全标签(即selinux上下文)进行区分,只有对应的标签才能允许访问。否则即使权限是777,也是不能访问的。
  2. 在SELinux中,访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户(u)、角色(r)和类型(t)标识符。
  3. 工作流程:当程序访问资源时,主体程序必须要通过selinux策略内的规则放行后,才可以与目标资源进行安全上下文的比对,若比对失败则无法存取目标,若比对成功则可以开始存取目标,最终能否存取目标还要与文件系统的rwx权限的设定有关。所以启用了selinux后出现权限不符的情况时,你就得一步一步的分析可能的问题了。

3 解决

  1. 对于生产环境,建议根据提示信息一步步解决问题,但是此处是为了搭建漏洞实验环境,就直接采用比较暴力的方法,直接关闭SELinux。
  2. 在root身份下使用命令 vim /etc/selinux/config对文件进行编辑,将第六行中的SELINUX=enforcing改为SELINUX=disabled,如下图,保存后重启系统(不知道有没有其他重启方法)。
    在这里插入图片描述

参考文献

  1. CentOS7系统下SELinux阻止MongoDB启动的问题详解
Fighting_hawk
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
导致SELinux警告的四个常见原因
01-09
本文主要介绍下四个导致 SELinux 警告产生的原因以及解决方案。   原因一:现标注错误   SELinux 的核心概念是标注,无论是文件系统、目录、文件、文件启动描述符、端口、消息接口还是网络接口,所有的一切都需要标签,并且仅且仅能按照标签所赋予的权限执行。即使运行的 Apache 进程被黑客入侵且取得了 uid=0 root 权限,它依然无法访问某个用户主目录下的文件。因为标注为httpdt 的 Apache 进程所持有的无法访问标注为 userhome_t 的内容。   因此,如果标注有问题的话,SELinux 会弹警告。如何处理此类,可以参看本站前文中关于seman
Centos部署vulhub时所遇到的问题
Aevery的博客
03-07 1667
官方部署文档,直接使用几条命令即可方便快捷的部署漏洞靶场环境 Vulhub - Docker-Compose file for vulnerability environmenthttps://vulhub.org/#/docs/install-docker-compose/ 1、首先是网络问题,服务器直接使用GitHub下载因为某些原因,下载失败。使用官网文档中的docker加速器时在重启docker时现docker启动报错 [root@localhost docker]# systemctl
Weblogic系列漏洞复现——vulhub
qq_45612828的博客
08-08 1964
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic 任意文件上传漏洞(CVE-2018-2894) Weblogic Pre-Auth 远程命令执行(CVE-2020-14882、CVE-2020-14883) Weblogic ssrf(CVE-2014-4210)......
macpro下docker安装目录_Docker下搭建vulhub靶场
weixin_39589923的博客
12-11 391
一Docker介绍Docker 是一个开源的应用容器引擎让开发者可以打包他们的应用以及依赖包到一个可移植的容器中然后发布到任何流行的Linux机器上,也可以实现虚拟化容器是完全使用沙箱机制,相互之间不会有任何接口通过对应用组件的封装、分发、部署、运行等生命周期的管理达到应用组件级别的“一次封装,到处运行”这里应用组件,即可以是Web应用,也可以是一套数据库服务甚至是一个操作系统或编译器D...
CentOS7搭建vulhub完,速来unable to access、couldn’t connect,network is unreachable、docker.service faile
03-05 2442
vulhub搭建过程中,完所有,我觉得我最棒了
Centos7漏洞vulhub-master.zip
03-01
这个"Centos7漏洞vulhub-master.zip"文件包含的是基于CentOS 7操作系统的Vulhub环境,特别适合进行安全研究和测试。 在CentOS 7上,Vulhub创建了多个漏洞场景,涵盖了Web应用、网络服务、操作系统等多个层面。...
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
09-09
主要给大家介绍了关于CentOS 7系统下SELinux阻止MongoDB启动问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
CentOS7中MariaDB修改datadir后无法启动的解决方法
09-09
然而,在将MariaDB的datadir从默认位置(如/var/lib/mysql)更改为其他目录(如/home/mysql)后,发现数据库服务无法正常启动。系统日志显示警告无法创建测试文件,例如/core.lower-test。 解决方法分析: 1. ...
Centos7 部署若依前后端分离项目
01-09
nginx配置文件二、Centos7 环境准备2.1. 安装mysql并启动2.2. 安装redis并启动2.3. 安装nginx 和配置nginx.conf文件三、测试验证3.1. 上传准备好的文件3.2. 启动后端项目3.3. 登录验证.附上完整的nginx配置文件 一...
在docker环境下安装使用vulhub靶场
Goodric的博客
07-25 1606
Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。docker-compose会自动查找当前目录下的配置文件(默认文件名为docker-compose.yml),并根据其内容编译镜像和启动容器。所以,要运行某个漏洞靶场,需要先进入该漏洞所在的目录。首先要在Linux中有和环境,安装过程这里就不讲述了。——...
一些使用在kali中使用docker启动vulhub靶场
m0_64241536的博客
05-21 929
下载vulhub:git clone https://github.com/vulhub/vulhub.git (直接下压缩包解压放入root更快) root下(若用普通用户每个命令前加sudo) 基本操作 docker服务启动: service docker start docker服务停止: service docker stop docker服务重启: service docker restart docker version 查看docker的版本信息 d..
vulhub漏洞—docker_daemon_api未授权访问漏洞
weixin_45808483的博客
12-17 1314
docker remote api docker remote api主要的目的是取代命令行界面, docker client和docker daemon通过unix domain socket进行通信. 默认情况下,只有本机的root和docker组用户才能操作docker. 漏洞成因 dockerd -H unix:///var/run/docker. sock -H 0.0. 0.0:2375 docker守护进程监听在0.0.0.0,外网可访问 没有使用iptable等限制可连接的来源
解决selinux警告
良玉的博客
07-18 7415
Nagios  and SELinux Nagios 3.2.0    CentOS 5.4 在开启SELinux的情况下,SELlinux不断警告: tail /var/log/messages Mar 9 23:58:53 wingwu setroubleshoot: SELinux is preventing ping (ping_t) "read write
虚拟机与物理机能相互ping通但为什么访问不了vulhub搭建的靶场
m0_48831859的博客
04-15 5480
虚拟机与物理机能相互ping通但为什么访问不了vulhub搭建的靶场
docker学习整理
qq_18246731的博客
04-03 223
docker images 显示本地已有的docker 镜像 REPOSITORY TAG IMAGE ID CREATED SIZE ubuntu latest 4e5021d210f6 ...
centos7搭建vulhub靶场遇见的奇奇怪怪的问题
hwwcbh的博客
03-19 360
1、启动docker:systemctl start docker2、停止docker:systemctl stop docker3、重启docker:systemctl restart docker4、查看docker状态:systemclt status docker5、开机自启动:systemctl enable docker。
linux安装sealert工具,使用SELinux Alert Browser轻松解决SELinux问题
weixin_36202273的博客
05-11 684
原标题:使用SELinux Alert Browser轻松解决SELinux问题本篇文章作者:由悬镜安全实验室独家翻译,如需转载,请标注:如果你使用一个利用SELinux的Linux发行版,如CentOS,Red Hat,Fedora或SUSE,你就知道它可能是一个祝福和咒诅。 虽然SELinux是一个令人难以置信的强大的工具,这是一个很长的路要保持您的Linux驱动的机器安全,它可能是一个噩梦配...
搭建Vulhub靶场
weixin_47100211的博客
03-17 2471
Vulhub靶场搭建总结
vulhub】搭建与问题记录
weixin_49422491的博客
04-29 1172
参考链接 解决: 下载好之后,每次启动一个靶场的时候都需先进去相应的目录,然后2.1 启动docker 2.2、 docker依赖启动 2.3、 关闭环境 用完之后记得在对应目录使用这个关闭命令关闭环境,我以为把,云搭建的如果不关的话,会被学安全的小伙伴玩坏的~哈哈哈哈,我害怕。也不知道关了会不会安全些,但养成好习惯,用完就关掉总是好的。 二、本地Ubuntu虚拟机搭建vulhub 依旧是搜了一下别人怎么搭建的。然后,跟着这个博客搭建了vulhub。然后我问我朋友要怎么访问,他说“172.18.1.0:
使用 systemd 单元文件在CentOS系统启动完成后自动执行umount /disk
最新发布
05-24
您可以创建一个名为`umount-disk.service`的 systemd 单元文件,然后将其放置在 `/etc/systemd/system/` 目录下。以下是一个示例文件: ```ini [Unit] Description=Unmount /disk after boot [Service] Type=oneshot ExecStart=/bin/umount /disk [Install] WantedBy=multi-user.target ``` 这个单元文件描述了一个服务,它只会在启动执行一次,然后停止。`ExecStart` 行指定要执行的命令,即卸载 `/disk` 文件系统。`WantedBy` 行指定服务应该在哪个目标下启动,这里是 `multi-user.target`,表示多用户模式下启动。 完成后,使用以下命令启用服务并重新加载 systemd: ``` systemctl enable umount-disk.service systemctl daemon-reload ``` 现在,当您的 CentOS 系统启动完成后,`/disk` 文件系统将自动卸载。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值