seLinux

最新推荐文章于 2019-08-19 15:19:52 发布
最新推荐文章于 2019-08-19 15:19:52 发布
阅读量170 收藏
点赞数
分类专栏: Linux运维初学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Garfield777/article/details/98170593
版权

1.selinux : 内核级加强防火墙

#1).针对文件,会对系统中的每个文件添加安全上下文
#2).针对进程,会对系统中的每个进程添加安全上下文
#3).会在系统服务上设定sebool开关
#4).当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
#5).sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值
在这里插入图片描述
图中选定部分即为安全上下文

2.管理selinux

		getenforce				查看selinux的状态

在这里插入图片描述

		selinux的开关
		
		vim /etc/sysconfig/selinux		通过编辑selinux配置文件更改selinux状态

在这里插入图片描述

		SELINUX=enforcing		selinux开启,级别为强制
		SELINUX=permissive		selinux开启,级别为警告
		SELINUX=disabled		selinux关闭
		setenforce 0|1			更改selinux当前的级别 0警告 1强制

selinux开启,enforcing强制状态下,安全上下文不匹配将无法访问文件
permissive警告状态下,安全上下文不匹配,可以访问文件,但会有报错惊醒
selinux关闭,disabled状态下,没有安全上下文的匹配,可任意访问文件
例:enforcing强制状态下安全上下文不匹配将无法访问

	getenforce							在selinux开启并且为强制级别下

在这里插入图片描述

	touch /mnt/file{1..5}				在/mnt目录下创建file1-5五个文件
	mv /mnt/* /var/ftp/					将/mnt/目录下的五个新建文件移动到/var/ftp/

在这里插入图片描述

	lftp 172.25.254.103					利用lftp登陆ftp服务进行对刚刚五个新建文件的访问
	安全上下文将组织访问这五个文件

在这里插入图片描述
当selinux开启并处于警告级别,时,再次lftp 登陆查看file1-5
此时文件可以被访问
在这里插入图片描述
此时查看日志 cat /var/log/messages
selinux会对访问fiel1-5发出警醒
在这里插入图片描述
关闭selinux,清空日志,再次lftp访问文件file1-5,并查看日志

在这里插入图片描述

注:当selinux从关到开,或者从开到关,需要重启系统selinux中对文件安全上下文的设定

临时更改适用于更改文件

		chcon -t 安全上下文 文件
		chcon -t public_content_t /var/ftp/file

在这里插入图片描述
永久更改文件安全上下文

		semanage fcontext -l
		semanage fcontext -a -t public_content_t '/west(/.*)?'	
		递归更改/west目录及其内容
		
		restorecon -RvvF /west/            重新加载/west的安全上下文

在这里插入图片描述
在这里插入图片描述

		selinux的bool值的设定
		sebool值是控制服务功能的开关

		getsebool | grep 服务名称
		setsebool -P bool值 on | off

3.selinux的排错

		/var/log/messages 操作命令报错信息日志
		/var/log/secure	连接创建用户信息日志
		/var/log/maillog 邮箱信息日志
念念不忘77
关注
专栏目录
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
SELinux文档
05-23
SELinux(Security-Enhanced Linux)是一种安全子系统,它提供对Linux内核的增强安全特性,通过强制访问控制(MAC)机制来限制进程和用户对系统资源的访问。其核心目的是在操作系统层面上提供更好的安全控制,以防止...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
最新发布
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
Linux下文件和目录的权限(rwx)
Garfield777的博客
07-10 1495
文件或目录属性的查看: 文件的查看用ls -l或ll ; 目录的查看用ls -ld 或ll -d 文件属性中字符所代表的含义: - rwxr–r-- 1 root root 6 Jul 10 16:34 file 1. - 表示文件或目录类型 - 普通文件 d 目录 s so...
Linux系统下iscsi文件系统
Garfield777的博客
08-18 1427
网络磁盘共享设备iscsi 1. SCSI 支持从客户端通过 IP 向远程服务器上的 iscsi 存储设备发送SCSI 命令。iscsi限定名称用于确定发起端和目标,并采用 iqn.yyyy-mm.{reverse domain}:label 的格式。 默认情况下 , 网络通信是至 iSCSI 目标上的端口 3260/tcp 的明文端口 iSCSI 发起端 : 需要访问原始 SAN 存储的客户端 ...
Linux系统DNS bind的配置
Garfield777的博客
08-05 1054
1.BInd和DNS BInd: Bind是Berkeley Internet Name Domain Service的简写,它是一款实现DNS服务器的开放源码软件。Bind原本是美国DARPA资助伯克利大学(Berkeley)开设的一个研究生课题,后来经过多年的变化发展,已经成为世界上使用最为广泛的DNS服务器软件,目前Internet上半数以上的DNS服务器有都是用Bind来架设的。(53端口...
Linux运维学习 第一次 实操作业过程
Garfield777的博客
06-27 551
mkdir /root/study/ tmp/VERSION SINGLE /DOUBLE CLASS1 CLASS2 confdir touch /root/study/WESTOS_class{1,2}_linux{1..6} touch /tmp/VERSION/redhat_version{1..8} cp /tmp/VERSION/redhat_version{1,3,5,7} S...
Linux系统中虚拟机的管理
Garfield777的博客
07-25 424
1.虚拟机管理命令 virt-manager 开启虚拟机管理器 virsh list 显示正在运行的虚拟机 virsh list --all 查看所有虚拟机 virsh start desktop 打开虚拟机 virsh shutdown desktop 正常关闭虚拟机(可被阻塞) virsh destory desktop 强行关闭虚拟机 virt-viewer deskto...
Linux系统下nfs文件系统
Garfield777的博客
08-15 417
NFS: 网络文件系统(NFS)是Unix 系统和网络附加储存文件管理器常用的网络文件系统,允许多个客户端通过网络共享文件访问。它可用于提供对共享二进制目录的访问,也可用于允许用户在统一工作组中从不同客户端访问其文件。 1.nfs 文件系统 yum install nfs-utils -y 安装nfs服务 systemctl start nfs-server 打开nfs服务 firewal...
Linux系统中的磁盘管理
Garfield777的博客
07-28 385
1.本地存储设备的识别 fdisk -l 真实存在的设备(存在不一定可识别) cat /proc/partitions 系统识别的设备(可识别不一定可用) blkid 系统可使用的设备(可用不一定正在挂载) df 系统正在挂载的设备 2.设备的挂载和卸载 设备名称 /dev/XdX 比如:/dev/hd0 /dev/sda /dev...
Linux系统下IPTABLES
Garfield777的博客
08-19 385
1.iptables防火墙简介: Iptables也叫netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入、流出、流经服务器的数据包进行精细的控制。iptables是Linux2.4及2.6内核中集成的模块。 iptables的结构: 在iptables中有 三表五链(三表:filter、nat、mangle。五链:INPUT 、...
Linux系统apache服务
Garfield777的博客
08-11 357
首先关闭selinux getenforce 查看selinux状态 需要是disabled 1.apache 企业中常用的web服务 , 用来提供http:// (超文本传输协议) 2.apache 的安装部署(yum 安装要有能使用的yum源) yum install httpd -y 安装apache yum install httpd-manual -y 安装apache...
Linux系统mariadb数据库
Garfield777的博客
08-08 357
##########mariadb数据库################# GPL: General Public License 通用公共许可证 GNU = GNU is NOT Unix minix ====> linux mariadb 是 MySQL 替代品:避免MySQL闭源 MariaDB 数据库管理系统是MySQL 的一个分支,主要由开源社区在维护,采用GPL 授权认可 ...
Linux系统网络配置
Garfield777的博客
07-21 353
1.什么是IP ADDRESS internet protocol ADDRESS 网络进程地址 ipv4 internet protocol version 4 1.2x32 ip是由32个01组成 11111110.11111110.11111110.11111110=254.254.254.254 2.子网掩码 用来划分网络区域 子网掩码非0的位对应ip上的网络位 子网掩码0位对应ip的主机...
Linux系统下cifs文件系统
Garfield777的博客
08-15 348
1.存储分离 CIFS文件的储存 SMB文件共享 : Windows里叫SMB------- Linux里叫CIFS 用Internet 文件系统(CIFS)也称为服务器信,是适用于MicrosoftWindows服务器和客户端的标准文件和打印机共享系统息块(SMB) Samba 服务可用于将Linux文件系统作为CIFS/SMB 网络文件共享进行共享,并将Linux打印机作为CIFS/SMB...
vim编辑器的用法及示例
Garfield777的博客
07-02 347
vim编辑器的用法: vim /etc/vimrc 进入insert编辑模式 在最后一行永久添加或取消 vim的工作方式 取消加 “ 例: 在最后一行输入set nu , :wq退出保存后 永久添加vim编辑的显示行号功能,如需取消在set nu前加 “ 即可 在vim 命令模式下 :set nu 添加行号 nonu取消行号 在命令模式下输入 :set nu...
sshd服务
Garfield777的博客
07-18 326
sshd简介 sshd= secure shell 可以通过网络在主机中开机shell的服务 客户端软件 sshd 连接方式: ssh username@ip 文本模式连接 ssh username@ip -X 图形模式连接 注:第一次连接陌生主机时需要建立认证文件,所以会询问是否建立,输入“yes”即可,再次连接此台主机时,因已生成~/.ssh/know_hos...
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统中,Security Enhanced Linux(SELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值