RedHat Linux 8 中 selinux 介绍

最新推荐文章于 2023-09-21 10:02:27 发布
最新推荐文章于 2023-09-21 10:02:27 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Redhat Linux 8 知识讲解 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Howei__/article/details/104432063
版权

selinux功能

首先我来查看我们系统的selinux状态,因为之前作vsftp实验,所以selinux是设置为disable关闭了,可以用命令:getenforce ,去查看
在这里插入图片描述
seliux关闭状态: 在/mnt/中建立文件文件
在这里插入图片描述
-Z查看文件的安全上下文,可以看到是“?”,并且去查看vsftpd程序发现程序前面的安全上下文也是空
在这里插入图片描述
安全上下文为空文件被移动到ftp默认发布目录中可以被访问
在这里插入图片描述
ftp程序安全上下文为空 用户可以上传文件
在这里插入图片描述

编配配置文件更改selinux的状态:vim /etc/sysconfig/selinux
在这里插入图片描述
enforcing表示开启,改完后reboot重启,当selinux开启以上功能操作均失败
在这里插入图片描述
重启时系统会重新加载安全上下文,以上功能操作均失败
在这里插入图片描述
在selinux重启后,新建的文件都文件的安全上下文,即使移动文件,安全上下文也是存在的
在这里插入图片描述
在这里插入图片描述
可以看到再去匿名访问,testfile1文件是看不到,因为他们的安全设定是不同的
用命令getsebool -a | grep ftp 查看selinux对ftp 的限制
在这里插入图片描述
当selinux开启会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态以保
证服务安全性
当需要此功能时需要超级用户手动调节

selinux状态

状态类型:

Disabled关闭
enforcing强制
permissive警告

setenforce 0/1 :0表示警告模式 1表示强制模式
在这里插入图片描述
当设置为警告模式时,我们就可以查看到文件,但是系统日志会给出警告信息

selinux开关:
编辑配置文件:vim /etc/sysconfig/selinux
SELINUX=[selinux的状态]:3种状态去写入,写完后要重启系统才可以
在这里插入图片描述

安全上下文

安全上下文的临时更改

命令:
更改文件: chcon -t 安全上下文类型 文件名
更改目录: chcon -R 安全上下文类型 目录名

在这里插入图片描述
更改后,ftp就可以访问到了
在这里插入图片描述

注意:这里设置的为什么说是临时呢,因为在selinux状态重新设置关闭再开启,我们更改的安全上下文就会还原到之前的

安全上下文永久更改设定

如果要让安全上下文永久生效那就需要更改内核配置

  • 创建目录,更改本地用户登录家目录
[root@rhel8-work ~]# mkdir -p /testuser/testfile

编辑写入配置: vim /etc/vsftpd/vsftpd.conf ,锁定登录的家目录为/testuser
local_root=/testuser

  • selinux状态为enforcing,用户登录lftp服务进去看不到家目录下的文件
    在这里插入图片描述
    因为安全上下文不匹配,可以查看/var/ftp的安全上下文来和/testuser做对比
    在这里插入图片描述
    查看出/var/ftp的为public_content_t,而/testuser/为default_t,所以无法看到
  • 内核安全上下文查看 semanage在这里插入图片描述
    根据查看/var/ftp是可以看到列表信息。而/testuser是没有任何信息
  • 修改安全上下文命令
[root@rhel8-work ~]# semanage fcontext -a -t 安全上下文 目录名'(/.*)?'
[root@rhel8-work ~]# restorecon -RvvF 目录名

(/.*)? 表示目录中将要出现的内容,因为这样修改的内容是不会直接生效的所以还需要“restorecon -RvvF”刷新安全上下文。
在这里插入图片描述
完成后我们就可以看到重新设置安全上下文的文件是可以被看到的,并且新建的文件也会继承目录更改后的安全上下文
在这里插入图片描述

sebool

SEBOOL:selinux 对服务功能能添加的开关
可以通过命令来查看程序的selinux的限制:getsebool -a | grep ftp
查看ftp的功能开关
在这里插入图片描述
查看到的第一条ftpd_anon_write --> off ,ftp的默认的selinux限制是不允许匿名用户可写,如果我们想要在selinux功能开启的状态下允许匿名用户可写,可以用到sebool功能,
命令:setsebool -P ftpd_anon_write=1\on ,表示永久开启此匿名用户写的功能,1和on都可以,参数-P表示永久开启,不加-P是临时的,
在这里插入图片描述
更改后,在vsftp配置文件里确认匿名用户可写配置开启,使用 lftp 命令测试,
注意在这里我要注意的原本的/var/ftp/put目录的安全上下文是public_content_t,只是可以访问,但是不可以读写,所以在上面的实验前我们需要去更改安全上下文使它变为public_content_rw_t,
在这里插入图片描述
保证这个前提后,再去测试lftp可写的功能就没有影响了
在这里插入图片描述

setrouble

在使用selinux时,产生的日志会被采集到/var/log/audit/audit.log,而不是/var/log/messenges,
在这里插入图片描述
我们建立在/mnt下一个文件,mv到/var/ftp里,lftp访问时因为安全上下文不同是看不到这个文件,selinux就会出现报错信息,而这些信息会被采集到/var/log/audit/audit.log 里,
在linux系统种有一个程序setroubleshoot,可以帮我们去分析报错信息,并为我们提供解决方案

  • 安装 setroubleshoot 服务
    在这里插入图片描述
  • 使用setroubleshoot服务
    命令sealert -a 日志路径 ,表示分析日志并提供解决方案
    在这里插入图片描述
    使用后等待分析过程,完后下面会有解决方案
    在这里插入图片描述
    我们来尝试提供的解决方案
    在这里插入图片描述
    可以看到问题被解决了
Howei__
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【RHEL8】selinux
qq_45225437的博客
02-24 496
文章目录一、selinux功能二、selinux状态三、安全上下文四、sebool 一、selinux功能 二、selinux状态 三、安全上下文 四、sebool
简述RedHat 7 Linux系统
Aogsk -- Hello Welcome
05-04 889
RPM包管理 RPM 全称 RedHat Package Manager ,即 红帽软件包管理器。 在RPM公布之前,要想在Linux系统安装软件只能采取源码包的方式安装。早期在Linux系统安装程序是一件非常困难、耗费耐心的事情,而且大多数的服务程序仅仅提供源代码,需要安装人员自行编译代码并解决许多的软件依赖关系,因此要安装好一个服务程序,不仅需要具备丰富知识、高超的技能,还要有良好的耐心。...
Redhat关闭SELinux和防火墙的办法
bobo now~
12-12 4246
Redhat关闭SELinux和防火墙的办法
redhat 7.8 关闭防火墙、关闭selinux
杜培发
11-22 2128
redhat 7.8 关闭防火墙、关闭selinux
如何开启、关闭SELinux
最新发布
Judee_的博客
09-21 499
如何开启、关闭SELinux
RedHat8关闭防火墙和selinux
aaaaaaaTi的博客
07-05 7077
查看selinux状态 [root@sikanolinuxServer ~]# getenforce Enforcing
关于RedHat Linux各版本介绍
jackgogogo的专栏
03-17 5207
关于RedHat Linux各版本介绍 关键词:RHEL 4 U2 AS WS ES 区别 不同Red Hat是全球最大的开源技术厂家,其产品Red Hat Linux也是全世界应用最广泛的Linux。国内的代理:http://www.mylinux.cn/redhat.htm单是RedHat也有多个版本可以选择,如下:1、Red
RedHat Linux 8 vsftp服务部署
01-20
在Red Hat Linux 8安装vsftpd服务,首先需要确保系统没有运行SELinux和firewalld服务,因为这两个服务可能会阻止FTP的外部访问。可以通过`getenforce`命令查看SELinux的状态,然后修改`/etc/sysconfig/selinux`...
RedHat SELinux系统简介及案例分析
08-10
RedHat Enterprise Linux AS 3.0/4.0 security 方面的最大变化就在于集成了 SELinux 的支持。SELinux 的全称是 Security-Enhanced Linux,是由美国国家安全局 NSA 开发的访问控制体制。SELinux 可以最大限度地...
redhat.docx
09-26
在Red Hat Enterprise Linux (RHEL) 7.2这一版本,系统管理员可能遇到各种问题,包括遗忘root密码以及SSH连接速度慢等。本篇将详细介绍如何破解密码以及如何优化SSH登录过程,以提高远程管理效率。 一、密码破解 ...
Redhat关闭SELinux和防火墙[0分]
08-08
Redhat关闭SELinux和防火墙[0分]
Redhat Linux 最新版操作系统官方文档 RHEL7
10-14
Redhat Linux是企业级Linux操作系统的一个重要版本,RHEL7(Red Hat Enterprise Linux 7)在业界广泛应用,提供了稳定和安全的服务器环境。本官方文档集合包含33个详细指导,覆盖了RHEL7的各个关键领域,为系统管理...
Redhat Linux Enterprise Server 5 操作系统 安装配置指导手册.docx
05-18
Redhat Linux Enterprise Server 5 操作系统安装配置指导手册 ...本文档提供了关于 Redhat Linux Enterprise Server 5 操作系统安装和配置的详细指导,旨在帮助用户快速掌握安装和配置过程的关键知识点。
Linux 系统目录结构
weixin_45837693的博客
09-16 894
树状目录结构 /bin: bin 是 Binaries (二进制文件) 的缩写, 这个目录存放着最经常使用的命令。 /boot: 这里存放的是启动 Linux 时使用的一些核心文件,包括一些连接文件以及镜像文件。 /dev : dev 是 Device(设备) 的缩写, 该目录下存放的是 Linux 的外部设备,在 Linux 访问设备的方式和访问文件的方式是相同的。 /etc: etc 是 Etcetera(等等) 的缩写,这个目录用来存放所有的系统管理所需要的配置文件和子目录。
Redhat(2)-SELINUX-基本操作
aggie4628的专栏
10-24 430
SELINUX用来管里文件可以被谁访问,用什么软件访问的系统。setenforce ,restorecon,systemctl,semanage是一些基本用法。
linux基础篇(十八):基于Redhat7系统的SElinux及安全上下文
gd0306的博客
10-25 1406
SElinux SElinux简介 SELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号 能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种 方式称为DAC(主动访问机制),很不安全。 DAC 自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own, ...
Linux学习笔记(RHEL8版本)
its666的博客
11-23 1159
Linux 特点:开源,安全,稳定 发行版本: Fedora deepin 个人办公 Debian 系统开发 Ubuntu 软件开发 redhat Centos 服务器 应用:服务器,云计算,大数据,软件开发 涉及岗位:售前,售后:测试,实施,运维, 相关证书:rhce红帽认证工程师 rhel8 一.终端命令行 语法: 主命令 选项 参数 快捷键: ctrl + l =clear ​ ctrl+shift + 放大终端字体 ​ ctrl - 减小终端字体 ​ alt . 调用上一条命令的参数 [root@l
Linux下如何关闭SELinux的图文教程(完整版)
热门推荐
im奥特曼
03-18 1万+
大家好! 最近遇到Mysql数据启动报错的问题,于是发现是因为SELinux没有关闭,那么这篇文章就简单的记录SElinux是如何让关闭的。 前言 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise
RedHat Linux 8网络配置
Howei__的博客
02-15 7742
网络配置 网络IP ping ip addr ifconfig 更改ip dhcp服务搭建
RedHat Linux 7.3
08-23
RedHat Linux 7.3是一款操作系统。根据引用的内容,对于RedHat Linux 7.3的一些操作可以总结如下: 1. 编辑/etc/selinux/config文件,将SELINUX的值改为disabled以禁用SELinux。 2. 关闭防火墙,可以使用命令systemctl stop firewalld来停止防火墙的运行。 3. 编辑/etc/sysconfig/network-scripts/ifcfg-eth0文件,将BOOTPROTO的值改为static,将ONBOOT的值改为yes,并添加IP地址、子网掩码、网关和DNS服务器的信息。 4. 使用命令systemctl restart network来重启网络服务。 5. 挂载yum源,具体操作没有给出,可以根据需要选择相应的yum源并进行挂载。 以上是一些RedHat Linux 7.3的常见配置和操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [RedHat Linux 7.3基础环境搭建](https://blog.csdn.net/fanxindong0620/article/details/106527020)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Howei__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值