永久改变SELINUX安全上下文

最新推荐文章于 2024-04-30 17:57:33 发布
最新推荐文章于 2024-04-30 17:57:33 发布
阅读量4.2k 收藏 2
点赞数
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a18829898663/article/details/70991610
版权

基本 SELINUX 安全性概念
• SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制
• 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 ,并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 , 你必须具有普通访问权限和 SELINUX 访问权限。因此 , 即使以超级用户份 root 运行进程 , 根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 ) 标签selinux 安全上下文访问规则
• WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t
• 系统上的文件和资源也设置了 SELINUX 上下文标签 , 并且重要的部分是 SELINUX 类型。例如 , /var/www/html 中的文件具有类型 httpd_sys_content_t 。 /tmp 和/var/tmp 中的文件通常具有类型 tmp_t
• Seliux 策略具有允许以 httpd_t 身份运行的进程访问标记为 httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即使常规文件权限指出应该允许这些访问

SELINUX模式
Enforcing
强制模式 : SELINUX 主动拒绝访问尝试读取类型上下文为 tmp_t的 web 服务器。在强制模式中 ,SELINXU 既记录冲突 , 也强制执行规则
Permissive
许可模式 : 通常用于对问题进行故障排除。在许可模式下 , 即使没有明确规则 , SELINUX 也允许所有交互 , 并且记录所有被拒绝的交互。 此模式可以用于确定你是否有 SELINUX问题。无需重新引导即可从强制模式转为许可模式 , 或再从许可模式转回强制模式

修改 selinux 安全上下文
• chcon -t
– 一次性定制安全上下文,执行 restorecon 刷新后还原
• semanage fcontext
– 永久更改文件的上下文

semanage 命令
• restorecon 是 policycoreutil 软件包的一部分
• semanage 是 policycoreutil-python 软件包的一部分
• semanage fcontext 可用与显示或修改 restorrecon 用来
设置默认文件上下文的规则
• semanage fcontext 使用扩展正则表达式来指定路径和文
件名。 fcontext 规则中最常用的扩展正则表达式是
(/.*)?, 表示随意地匹配 / 后跟任何数量的字符
• semanage fcontext 将递归地与在表达式前面列出的目录
以及该目录中的所有内容相匹配

接下来作永久更改文件的上下文练习:
首先安装好vsftpd服务,启动vsftpd
[root@localhost ~]# yum install vsftpd
[root@localhost ~]# systemctl start vsftpd
防火墙添加ftp,进行刷新
[root@localhost ~]# firewall-cmd –permanent –add-service=ftp
[root@localhost ~]# firewall-cmd –reload
然后就可以作练习了
在根目录新建一个目录westos mkdir /westos
在westos目录下建立两个文件 touch /westos/file{1..2}
查看目录westos安全上下文 semanage fcontext -l | grep westos ##目录westos是之后为了匿名用户进入lftp服务,更改默认家目录为westos
查看目录/var/ftp安全上下文 semanage fcontext -l | grep /var/ftp
目录/var/ftp为用户通过lftp进入的默认目录
这时候就会发现两个目录的
进入vsftpd服务的配置文件里添加anon_root=/westos,重启vsftpd服务,
我们在另一台主机上lftp进入,查看是否可以看到westos下的文件,发现并不会看到文件
于是我们可以修改westos的安全上下文,让另一台主机的本地用户可以通过lftp进入此主机,查看到文件
下边是具体的代码块:

20主机
[root@localhost ~]# mkdir /westos
[root@localhost ~]# ls /westos/
[root@localhost ~]# touch /westos/file{1..2}
[root@localhost ~]# ls -lZ /westos
-rw-r--r--. root root unconfined_u:object_r:default_t:s0 file1
最低0.47元/天 解锁文章
猫上的树
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 1858
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录安全上下文 -rw-------.root root system_.
Selinux安全上下文详解
weixin_34257076的博客
11-22 1835
SELinux介绍DAC:自由访问控制MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将...
永久改变selinux状态&远程拷贝命令
eyexin2018的博客
11-16 353
selinux关闭 selinux很多时候比较阻碍我们部署一些应用,比如Hadoop集群,docker容器应用,那么这个时候我们最好就把它关闭掉,让容器可以读取主机文件系统 那么如何关闭呢? 先查看状态 1 # getenforce #查看selinux状态 然后有两种方式关闭 2 # setenforce 0 #临时关闭selinux 3 # sed -i ‘s/^ *SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config #永久关闭(需重启系统
2024年Linux最全shell sed修改linux终端的配置文件_shell脚本修改selinux(1)
最新发布
2301_76223496的博客
04-30 133
【代码】2024年Linux最全shell sed修改linux终端的配置文件_shell脚本修改selinux(1)
永久改变 SELinux 状态:
eyexin2018的博客
04-08 599
永久改变 SELinux 状态: vi /etc/sysconfig/selinux 1.2 SELinux 建议禁用SELinux,让容器可以读取主机文件系统 执行命令: 1 # getenforce #查看selinux状态 2 # setenforce 0 #临时关闭selinux 3 # sed -i 's/^ *SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config #永久关闭(需重启系统) 4 # shutdown -r n
SELinux配置和更改安全上下文
04-23 1万+
配置SELinux 我们已经在Selinux的由来和安全上下文中了解到SELinux的基本概念。 我们知道SELinux会对进程和文件进行权限控制,而让阻止某些进程访问不该访问的文件。 实际上,在真实场景中,虽然SELinux为默认的内核模块,然而实际上,我们还是可以控制其开启和执行。 首先,让我们查看默认的当前的SELinux配置: $ cat /etc/sysconfig/selinux...
semanage命令 安全上下文查询与修改
01-20
semanage命令是用来查询与修改SELinux默认目录安全上下文SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。 语法格式:semanage [参数] 常用参数: ...
一键部署某用户ssh后限定在某个目录中(更新selinux安全上下文
11-10
通过chroot方式限制用户ssh登陆后被限定在某个目录中,可以用于作一些只读用户,让其只能访问特定目录,并通过目录下其他目录的属主及权限控制方式实现该用户为...2020-11-10 更新selinux安全上下文 有其他问题请留言。
操作系统安全selinux简介.pptx
06-01
SELinux中,进程试图访问文件时,不仅需要满足文件的权限设置,还需要其安全上下文与文件的安全上下文匹配。如果匹配失败,访问将被拒绝。文件的安全上下文存储在iNode中,而进程的安全上下文则存储在内存中。...
SELinux安全系统基础.pdf
11-13
例如,`unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023`这样的输出包含了用户ID、角色、类型和等级信息,这些字段组合在一起定义了进程或文件的安全上下文。 策略在SELinux中扮演着关键角色,它定义了哪些...
selinux实现为linux安全模块报告
12-28
- **上下文(Context)**: 每个Linux对象(如文件、进程、网络套接字等)都有一个SELinux上下文,包含用户、角色、类型和等级等信息,定义了对象的安全属性。 - **策略(Policy)**: 定义了系统中不同对象之间的...
SELinux详解
08-06
SELinux详解,一本介绍linux安全相关selinux的书。
linux优化——永久关闭SELinux和iptables,修改字符集,命令行参数补齐
iwalkman的博客
04-29 1480
永久关闭SELinux[root@centos ~]# vi /etc/selinux/config   #将enforcing改为disabled# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:#     enforcing - SELinu...
SELinux 安全上下文
Buster_ZR的博客
05-14 1758
SELinux 安全上下文 1、SELinux安全上下文 安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),”域”和”域类型”意思都一样,即都是安全上下文中的“TYPE”。 SELinux对系统中的许多命令做了修改,通过执行 ls -Z 选项显示客体和主体的安全上下...
Linux查看、修改SELinux的状态
热门推荐
好学若饥,谦卑若愚
08-02 4万+
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 linux历史上最杰出的新安全子系统。但是我们一般都不用它,因为它管的东西太多了,想做安全可以用防火墙等其他措施。  我们可以通过查看配置文件的命令 cat /etc/selinux/config 来查看状态, [root@lill ~]# cat /etc/selinux/
LinuxSELinux-安全上下文
weixin_42741132的博客
09-09 6503
目录 SELinux介绍 五个安全元素 启用SELinux 管理文件安全标签 管理端口标签 管理SELinux布尔值开关 设置SELinux管理日志 查看SELinux帮助  *******温馨提示:小编认为文中的理论知识点也很重要,请热爱学习的你们也同样耐心阅读完******** SELinux介绍 SELinux:Secure Enhanced Linux,是美国国家...
Linux_SElinux 安全上下文的理解
Ff12123的博客
05-15 5401
selinux 安全上下文是一个访问控制属性。在SELinux中,类型标识符是安全上下文中决定访问的主要的部分。 为了简便,这里我就使用一台机器既作客户端又作服务端来进行实验 1. getenforce #查看他的selinux是否为强制状态 2. touch /mnt/file1 #在mnt下创建file1 文件 因为mnt的安全上下文为mnt_t 3. mv /mnt/fi...
SELinux安全上下文的认识
虫写的专栏
10-30 1万+
1、SELinux安全上下文 安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),"域"和"域类型"意思都一样,即都是安全上下文中的“TYPE”。 SELinux对系统中的许多命令做了修改,通过添加一个-Z选项显示客体和主体的安全上下文。     1) 系统根据PAM子系统中的p
SELinux
su_chao的博客
05-16 453
SELinux的介绍是美国国家安全局)和SCC)开发的Linux的一个强制访问控制的安全模块DAC:自由访问控制自由访问控制早期,有管理员设置MAC:强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制的策略被用来定义被限制的进程能够使用那些资源(文件和端口)默认情况下,没有被明确允许的行为将被拒绝SELinux的有四种工作类型:(不同版本不同类...
selinux安全上下文命名
08-17
SELinux安全上下文命名是指为文件、目录、进程等在SELinux设置安全上下文的命名规则。SELinux使用安全上下文来标识和控制对象的访问权限。安全上下文是由一个或多个部分组成的,通常包括标签和类型。 在SELinux中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值