开启SELINUX真的就那么难吗?

已于 2022-04-20 13:44:14 修改
阅读量1.6k 收藏 6
点赞数 2
分类专栏: 经验分享 linux 文章标签: linux 网络 运维 服务器 centos
于 2021-12-25 13:00:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alfiy/article/details/122142006
版权

我们都知道Linux的安全性要高于windows,可是你明白Linux到底比windows的安全性高在哪里吗?有人在部署环境的时候,开局两件事关防火墙、关Selinux,请问你把Linux的这两大重器都给关掉了,系统的安全性从何而言?

作为一名已经有了5年经验以上的老程序员的你可能会说,关防火墙关Selinux也不能怪我啊,当时我的师傅都是这么教我的啊。的确,现在各培训机构,网上的大量的“你抄我我抄你”教程中存在许多上来就关防火墙关se的做法,作为一名45岁仍在一线写程序的老哥是时候出来发表点看法了。

授人以鱼不如授人以渔。

1.查看防火墙SELINUX的状态

systemctl status firewalld

如果出现下图说明你的防火墙是开启的。
在这里插入图片描述
2.防火墙的设置相对SELINUX要简单一些,只要你按照用什么开什么的原则开启防火墙的端口就行了。

开启防火墙端口的命令

firewall-cmd --zone=public --add-port=21/tcp --permanent

在这里插入图片描述

如果要想防火墙设置马上生效的话要重启一下防火墙。

 firewall-cmd --reload

查看系统中防火墙开启了哪些端口使用以下命令

firewall-cmd --list-port

好了,请牢记上面四个命令,不要到用的时候你再去查,切记切记!

2.查看SELINUX的状态

 getenforce

在这里插入图片描述
临时关闭SELINUX

setenforce 0

在这里插入图片描述

那么如何永久的关闭SELINUX呢?对不起,这个我不教。

我们可以使用临时关闭SELINUX或防火墙的方式来定位问题是出在防火墙上还是SELINUX上。

查看SELINUX的参数值

getsebool -a

哇,那么多参数?怎么看?那就加个过滤吧。

getsebool -a | grep httpd

是不是少了一些?

设置SELINUX参数值

setsebool -P allow_ftpd_full_access on

3.其实开启SELINUX一点都不可怕

用实例来说话吧。

学习编程的最好方式就是用程序来说明程序,什么变量啦、判断啦、循环啦,讲一大篇不如写一段代码运行它。

学习运维也同样,在你的虚拟机上动手去实践,弄清楚其中的细节再上生产。

我们还是继续前面设置FTP服务器的实例吧。

请各位移步在下的拙作。

centos8.5 Vsftpd 搭建FTP服务器

centos8 配置vsftpd的SSL/TLS功能

由于在上面的教程中,我直接把SELINUX的相关设置告诉大家了,这次我给大家讲明白如果遇到了一个老师没讲过的应用场景怎么办呢?

先关闭SELINUX的两个参数,看看程序运行有什么报错吧。

setsebool -P ftpd_full_access off
setsebool -P tftp_home_dir off

好了,再查看一下SELINUX参数。

getsebool -a | grep ftp

在这里插入图片描述
重启一下vsftpd,再登录试试。

 systemctl restart vsftpd

能够正常登录,但是新建文件夹时报错了。
在这里插入图片描述
确认一下是不是SELINUX的原因呢?

临时关闭一下SELINUX

setenforce 0

再重新登录FTP新建一个文件夹,成功了,再上传一个文件,删除文件,删除文件夹都没问题,说明就是SELINUX配置出现了问题。

登录FTP服务器使用下面的命令查看一下SELINUX吧

audit2allow -w -a

哇,屏幕上出现一大堆信息,一屏都显示不过来。

不要怕,字越多事越小,看这里。
在这里插入图片描述
运行一下 setsebool -P ftpd_full_access 1吧。

 setsebool -P ftpd_full_access 1

运行成功后并没有输出任何消息,如果你不放心还可以使用

getsebool -a | grep ftpd_full_access

查看一下

在这里插入图片描述
ftpd_full_access参数已经设置为on了。

再次登录FTP,新建删除文件夹都没问题,上传下载也都没问题。

好了,到此我的“渔”就授完了,面对SELINUX你还那么害怕他吗?

总结一下。

  1. 部署环境时,可以先临时关闭SELINUX,验证你部署的环境没有问题。

  2. 打开SELINUX,如果此时出现了问题,基本就能定位问题出在SELINUX上。

  3. 使用命令audit2allow -w -a查看SELINUX中的建议信息,按照SELINUX的建议信息开关相关参数。

  4. 重新打开SELINUX,验证是否正常。

  5. 如果功能不正常,再使用audit2allow -w -a,认真阅读提示信息中的相关内容有针对性的去检查这些报错信息。

ps: 如果 audit2allow命令不可用,那就安装一下吧

ubuntu

apt install policycoreutils-python-utils

centos

yum install -y policycoreutils-devel.x86_64
alfiy
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如...
selinux开启后shadow文件策略修改限制
02-17
SELinux 开启后 Shadow 文件策略修改限制 SELinux(Security-Enhanced Linux)是一种基于 Linux 内核的强制访问控制(Mandatory Access Control,MAC)机制,它可以限制进程对文件和资源的访问权限。在 SELinux 中...
开启Selinux遇到的坑
小刘的博客
01-25 3232
事故起因: 由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本中,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。 开启SELinux 实例上运行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SE
Linux开启SELinux
weixin_48692664的博客
01-07 3828
安全增强型LinuxSELinux)是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。本文介绍如何开启或关闭SELinux,并且避免系统无法启动的问题。 开启SELinux 以root权限操作:sudo su - 编辑SELinux的config文件:vi /etc/selinux/config 找到SELINUX=disabled,按i进入编辑模式,修改该参数开启SELinux 修改参数,开启SELinux有以下两种模式: 强制模式SELINUX=enforcing:表示所有违反安全策
Linux开启或关闭SELinux_打开selinux
最新发布
2401_83947434的博客
05-15 1056
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
实现 SELinux
一步一个脚印
08-11 556
SELinux 被设置为“默认拒绝”模式,这表示,对于在内核中存在钩子的每一次访问,都必须获得政策的明确许可。这意味着政策文件中包含规则、类型、类、权限等方面的大量信息。关于 SELinux 的完整注意事项不在本文档的讨论范围之内,现在您必须要了解的是在启动新的 Android 设备时如何编写政策规则。目前有大量关于 SELinux 的信息可供您参考。关于建议的资源,请参阅支持文档。 关键文件 ...
Linux 开启或关闭 SELinux
HONEY MOOSE
03-31 576
安全增强型LinuxSELinux)是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。本文介绍如何开启或关闭SELinux,并且避免系统无法启动的问题。
SELinux相关问题
qq_16334327的博客
09-03 377
SELinux是有关Linux安全的问题,SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块,但是绝大多数 Linux系统管理员嫌麻烦都会选择关闭它(因为会时常回忆起各种设计权限的问题) 1 SELinux 的作用 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。 设想一下,如果一个以 root 身份运行的网络服务存在 0day 漏洞,黑客就可以利用这个漏洞,以 root 的身份在您的服务器上为所欲为了
linux如何关闭selinux?.pdf
03-22
如果返回的是 "Disabled",那么SELinux就已经被关闭;如果返回的是 "Enforcing",则表示SELinux正在运行并执行强制访问控制。 除了getenforce,还有另一个命令 **sestatus -v** 也可以用来查看更详细的SELinux状态...
SELINUX工作原理详解
01-09
- `booleans`: 管理SELinux的布尔值,用于开启或关闭特定的安全设置 - `context`: 查看和修改文件的安全上下文 - `create`: 创建新的安全策略模块 **五、SELinux策略的灵活性** - **类型强制(Type Enforcement, TE...
关闭selinux LinuxSELinux开启、关闭
07-05
什么是SElinuxSELinuxLinux的安全增强,它允许⽤户和管理员对访问控制进⾏更多的控制。 访问权限可以限制在哪些⽤户和应⽤程序可以访问哪些资源这样的变量上(由变量控制访问权限)。这些资源可以采⽤⽂件的...
Linux开启selinux
wangjie72270的博客
12-13 547
1 编辑SELinux的config文件。 [root@slave1 ~]# vim /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prin
zabbix-server启动失败处理方式
qq_44534541的博客
06-30 4876
关闭SELinux a.运行以下命令,编辑SELinux的config文件。 vim /etc/selinux/config b.找到SELINUX=enforcing,按i进入编辑模式,将参数修改SELINUX=disabled。 我已经修改好了c.修改完成后,按下键盘Esc键,执行命令:wq,保存并退出文件。d.重启ECS实例。 e.重启后,运行命令getenforce,验证SELinux状态为disabled,表明SELinux已关闭。 启动zabbix 在浏览器中查看...
Linux系统开启或关闭SELinux
高性价比服务器就选:蓝易云
05-16 2947
SELinux 是一个强制访问控制机制,它在 Linux 内核中实现。相较于其他访问控制机制,如传统的 UNIX 文件权限和 Linux 访问控制列表(ACL),SELinux 能够提供更细粒度的访问控制。在 SELinux 中,每个进程和对象都有一个安全上下文。该上下文包含了一些标签(例如,用户、角色和类型),用于表示该进程或对象的安全级别。在访问控制中,SELinux 使用了一个策略管理器,它会在访问请求到达时检查该请求是否符合策略要求,并在满足要求时批准该请求。
Ubuntu 20.04安装SElinux
hhhlizhao的博客
10-06 3086
修改过之后一定要reboot系统才能生效。另外,开启SElinux有可能导致ssh服务无法使用,从而影响ssh登陆功能,需要修改其规则才可。或修改配置文件/etc/selinux/config,将SELINUX=disabled改为 SELINUX=enforcing。Ubuntu默认安装的安全组件为AppArmor,要安装SElinux需要先移除AppArmor。1.使用systemctl停止Apparmor服务。4.安装SELinux及相关包。5.查看SELinux安装情况。
树莓派buildroot编译环境搭建
u011069498的博客
07-23 1635
前言:此次搭建是在CentOS7-64系统上进行的,系统采用最小化安装,没有图形界面及其他不必要的配件,所有需要用到的工具和源码都需要手工安装。 一、关闭不需要的安全配置 1、关闭selinux 编辑配置文件vi /etc/seliux/config 将配置文件中第7行的SELINUX=enforcing 修改SELINUX=disabled 2、关闭防火墙firewalld 执行...
开启或关闭SELinux
weixin_66060122的博客
10-18 3436
解决nginx转发请求异常的解决办法failed (13: Permission denied) while connecting to upstream
Linux启动SELinux
qq_43203949的博客
06-15 3554
centos自带SELinux开启 先编辑配置信息 在根目录下创建隐藏文件,然后重启Linux 验证 切换SELinux模式 模式切换不需要重启linux,而在关闭SELinux(设为disabled)或开启(设为permissive,Enforcing)需要重启Linux。 Utunbu 安装,似乎不是自带的,而是使用代替。本人在测试,发现只有,所以我需要使用进行替换。 开启 也是配置信息,会发现跟centos那边的SELinux的配置文件有一些些不同,不过主题内容大致一致。 验证 验证方式没改变 .
ubuntu selinux
weixin_34133829的博客
01-07 1305
apt install selinux-utils apt install policycoreutils   https://zhidao.baidu.com/question/917938889387407139.html
临时禁用selinux如何操作?再如何重启临时开启selinux
05-13
临时禁用SELinux需要以root权限登录系统,并执行以下命令: ``` setenforce 0 ``` 这个命令会将SELinux的执行模式切换为Permissive模式,即虽然SELinux的安全策略仍然生效,但是不会阻止任何操作,只会记录日志。这种模式下,可以测试一些应用程序,查看SELinux是否会干扰其运行。 要重新临时开启SELinux,只需执行以下命令: ``` setenforce 1 ``` 这个命令会将SELinux的执行模式切换为Enforcing模式,即SELinux的安全策略会严格执行,禁止一切不符合规则的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

alfiy

欢迎请博主喝瓶矿泉水

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值