基于linux下的selinux的管理与控制

最新推荐文章于 2024-09-15 13:34:21 发布
最新推荐文章于 2024-09-15 13:34:21 发布
阅读量710 收藏
点赞数
分类专栏: 运维 linux 文章标签: selinux控制 更改安全上下文 管理布尔值 监控冲突 更改端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chao199512/article/details/80348953
版权
运维 同时被 2 个专栏收录
123 篇文章 13 订阅
订阅专栏
linux
82 篇文章 3 订阅
订阅专栏

#################1.什么是selinux#######################################

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。

selinux:内核级加强型防火墙,影响程序的访问文件,影响程序的服务程序功能,影响服务所使用的资源。 

selinux影响程序的访问文件是通过安全上下文来控制的,影响服务程序的功能是通过sebool值来控制的。selinux开启后会关闭系统认为所有不安全的功能,并组织所有认为不不安全的操作 .

################2.selinux状态控制####################################################

(1)查看selinux状态

命令:getenforce                                             #查询结果有3种状态 
1、enforcing                                                    #强制模式,拒绝不被警告。
2、disabled                                                     #关闭模式

3、permissive                                                #selinux有效,即是违法策略,依旧可以继续操作,但是会有警告。

注意:当selinux状态下。可以查看警告信息:cat /var/log/audit/audit.log

(2)更改selinux状态

/etc/sysconfig/selinux       ##selinux状态控制文件

vim /etc/sysconfig/selinux #文件编辑 
reboot #重启 
测试:

[root@localhost ~]# getenforce
Disabled
[root@localhost ~]#vim /etc/sysconfig/selinux  #修改selinux=Enforcing
[root@localhost ~]#reboot  #重启
[root@localhost ~]# getenforce

Enforcing注意:设置保存完后,需重启才能生效。permissive模式和enforce模式切换不要重启。 (3)selinux临时状态设定

setenforce 0    ##警告模式设定(重启后恢复)

setenforce 1    ##强制模式设定(重启后恢复)

测试:

[root@localhost ~]# setenforce 0
[root@localhost ~]# getenforce
Permissive
[root@localhost ~]# setenforce 1
[root@localhost ~]# getenforce
Enforcing
强制状态下看不到文件,但在警告状态下可以看到文件 eg:

#################3.selinux安全上下文管理##############################################################

做selinux安全上下文时首先需要开启vsftpd,关闭firewalld

[root@localhost ~]# systemctl restart vsftpd
[root@localhost ~]# systemctl enable vsftpd
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
rm '/etc/systemd/system/basic.target.wants/firewalld.service'
rm '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'
(1)临时修改安全上下文

当安全上下文匹配时访问允许,若不匹配时则不被允许;特定的文件被特定的程序访问

(例如:ftpd_t 只能访问public_content_t的文件) 
移动:不改变文件的属性和权限,重命名的过程;

复制:改变文件的属性,新建的过程

   touch /mnt/westos  创建文件
   mv /mnt/westos /var/ftp  移动到/var/ftp
   ls -Z   查看上下文
   semanage fcontext -l | grep /var/ftp  查看安全上下文
   chcon -t public_content_t westos2  更改安全上下文的类型

第一步:开启ftp服务关闭防火墙,移动文件后查看/var/ftp目录。

第二步:在强制模式下,查看不到移动过去的westos1。查看/var/ftp的安全上下文

第三步:查看/var/ftp所有的安全上下文,然后将westos1更改为public_content_t安全上下文,再次查看时,

可以看到westos1文件

注意:将/etc/sysconfig/selinux改为disable后reboot重启,重启后再改为enforcing再次reboot重启,

表示将selinux重启一次。再次查看临时改的文件安全上下文就没有了。

(2)永久修改安全上下文

mkdir /westos

touch /westos/westosfile

vim /etc/vsftpd/vsftpd.conf

anon_root=/westos

systemctl restart vsftpd l

ftp 172.25.254.228 不能查看家目录文件

第一步:建立目录,编写匿名权限。


第二步:重启配置文件,匿名登录查看不到建立的目录,这时查看目录的目标上下文是什么

第三步:查看/var/ftp的源上下文是什么,并且查看默认/westos安全上下文列表

第四步:添加永久安全上下文为public_content_t,并刷新重启,看到效果。



注意:当seliunx出错时,执行touch /.autorelabel,在根底下建立.autorelabel文件

(相当于selinux 自动初始化),

然后重启系统,selinux恢复。

##########################4.selinux布尔值#############################################

setsebool -P ftp_home_dir on 打开服务开关(-P 永久,为了使系统更安全)

lftp 172.25.254.228 -u student

put /etc/passwd 上传失败

setsebool -a | grep ftp

setsebool -P ftp_home_dir on

lftp 172.25.254.228 -u student 上传成功

第一步:切换到student下,下载文件,提示553的报错(权限过小)

第二步:查看ftp的布尔值情况,并且修改布尔值策略改为开启

            

第三步:开启布尔值策略后再次下载,看到结果

   

##############################5.监控selinux冲突#######################################

当新建文件|目录时,在浏览器查看ftp://ip,查看不到新建文件、目录,并且产生日志 
/var/log/messages #查看报错后,程序提供解决方案 
/var/log/audit/audit.log #查看报错信息 
其中提供解决方案的不是系统而是一个软件程序,但此工具不安全,只是解决当前不能访问的问题;

查找安装包:rpm -qa | grep setrouble ;如果删除此工具,在日志/var/log/messages下是不会提供方案,

但是/var/log/audit/audit.log中可以看到日志 。

[root@localhost ~]# cd /var/ftp
[root@localhost ftp]# rm -fr *
[root@localhost ftp]# vim /etc/vsftpd/vsftpd.conf #关闭用户家目录修改
             注释#anon_root=/westos
[root@localhost ftp]# systemctl restart vsftpd
[root@localhost ftp]# touch /mnt/westos
[root@localhost ftp]# mv /mnt/westos /var/ftp
[root@localhost ftp]# > /var/ftp/messages
网页浏览:   ftp://172.25.254.228        #浏览器测试:看不到文件westos,并产生日志
[root@localhost ftp]# cat /var/log/audit/audit.log    ##查看日志
[root@localhost ftp]# cat /var/log/messages    
              解决方案:restorecon -v '$FIX_TARGET_PATH' ##日志内容过多,这里只显示解决方案这一行
[root@localhost ftp]# restorecon -v /var/ftp/* ##根据解决方案解决冲突

网页浏览:   ftp://172.25.254.228    ##可以看到westos文件



setroubleshoot是查看SElinux日志报错的命令

[root@localhost ftp]# rpm -qa | grep setrouble  ##查找排错工具安装包
[root@localhost ftp]# yum remove setroubleshoot-server-3.2.17-2.el7.x86_64  ##卸载
[root@localhost ftp]# > /var/log/audit/audit.log
[root@localhost ftp]# > /var/ftp/messages       ##清空日志
[root@localhost ftp]# cat /var/log/audit/audit.log      ##查看效果没有出错提示
[root@localhost ftp]# cat /var/log/messages    
在浏览器中刷新查看日志
[root@localhost ftp]# cat /var/log/audit/audit.log    ##查看为空
[root@localhost ftp]# cat /var/log/messages     ##没有出错工具提示
[root@localhost ftp]# yum install setroubleshoot-server -y   ##安装排错包
[root@localhost ftp]# > /var/log/audit/audit.log
[root@localhost ftp]# > /var/ftp/messages         ##清空日志
在浏览器中刷新再次查看日志
[root@localhost ftp]# cat /var/log/messages    ##有排错提示

[root@localhost ftp]# cat /var/log/audit/audit.log   ##可以查看到日志

######################################6.自定义设置端口#############################################

第一步:更改端口信息后,不能将httpd重启,因为新添加的端口不在默认端口里面所以重启失败

第二步:将selinux改为警告模式可以重启httpd,查看selinux允许的http端口

第三步:添加6666端口到selinux允许端口中,并将selinux改为强制模式,

再次重启,没有报错说明添加端口成功。
chao199512
关注
专栏目录
Linux之systemd管理
lv8549510的博客
06-21 808
一、Systemd的由来 历史上,Linux 的启动一直采用init进程。 下面的命令用来启动服务。 $ sudo /etc/init.d/httpd start # $ service httpd start 这种方法有两个缺点: 是启动时间长。init进程是串行启动,只有前一个进程启动完,才会启动下一个进程。 是启动脚本复杂。init进程只是执行启动脚本,不管其他事情。脚本需要...
Linux系统下的selinux管理
j_1282937574的博客
08-12 217
##1.内核级防火墙 selinux##  1.三种级别    1 (Enforcing)强制:警告,并拒绝访问    0 (Permissive)警告:不被拒绝,但会产生警告日志    (Disabled)关闭:不被拒绝,可正常访问  2.安全标签:安全上下文    当selinux插件处于关闭状态,vsftp服务无安全标签    当selinux插件处于强制/警告状态,重启时给所...
Selinux--linux系统中内核及加强火墙的管理
weixin_42200500的博客
05-20 208
一.Selinux的功能 相当于对文件和应用程序多加一层保护 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文(context); 对于程序功能的影响:当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭,当需要此功能时需要手动开启功能开关,此开关叫做sebool 二.Selinux的状态及管理 vim /etc/selinux/config SELINUX=disabled se
管理SELinux
最新发布
beck_li的博客
09-15 954
以apache程序为例,apache进程的标签是httpd_t ,apache进程能访问的文件/目录的标签是httpd_sys_content_t, 能开放给apache做端口的标签是http_port_t, 通俗点讲就是在开启selinux的系统里,要给apache访问的文件必须打上httpd_sys_content_t标签,而apache的监听端口必须有http_port_t标签。同时在企业权限管理不严格的地方,系统也常常会被有意或无意的破坏,而SELinux的开启有效的阻止了这类问题对系统的伤害。
linux中的selinux管理
qq_41582883的博客
11-22 558
selinux的状态 配置文件:/etc/sysconfig/selinux selinux开启状态:enforcing 强制状态 permissive 被动状态 selinux关闭状态:disabled 当selinux开启时,enforcing与permissive之间可以通过setenforce切换: 切换到permissive被动状态:setenforce=0 切换到enforcing强制状态:setenforce=1 sel
管理Linux中的selinux
thermal_life的博客
02-23 443
######################### 1.selinux功能 ######################### selinux:内核级加强型火墙 当seliux关闭状态: 在/mnt/中建立文件文件安全上下文为空文件被移动到ftp默认发布目录中可以被访问 ftp程序安全上下文为空 且用户可以上传文件 当selinux开启后,重启系统,会发现多了以下三行内容 上下文出现,移动...
基于Linux的USB存储设备访问控制机制研究.pdf
09-06
【基于Linux的USB存储设备访问控制机制研究】 随着信息技术的快速发展,USB存储设备因其便携性和易用性在数据存储和传输中占据了重要地位。然而,这也带来了数据安全的挑战,尤其是在企业环境中,USB设备可能导致...
基于Linux的USB移动设备的控制与研究.pdf
09-06
《基于Linux的USB移动设备的控制与研究》一文探讨了如何在Linux环境下对USB移动设备进行有效的管理控制,以防止数据泄露。USB移动设备,如闪存驱动器,因其便携性和热插拔特性,在日常生活和工作中得到了广泛应用...
使用SELinux 高效管理Linux.pdf
09-06
总的来说,SELinuxLinux安全增强的重要组成部分,通过MAC机制提供了更精细的访问控制,增强了系统的安全性。它允许管理员定义严格的策略,限制进程可以访问哪些资源,防止恶意软件和攻击者的活动,尤其适用于需要...
Linux系统安全管理SELinux策略实践
1. SELinuxLinux访问控制的关系:SELinuxLinux系统中的一个强制访问控制机制,它增强了传统的基于所有者-组-其他(UGO)的访问控制。当启用SELinux后,UGO机制仍然有效,但SELinux会进一步检查操作是否符合其...
Linux 从基础到进阶】SELinux 与 AppArmor 安全模块配置
weixin_39372311的博客
08-07 1009
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的安全模块,通过强制访问控制策略来保护系统。它基于安全策略的定义,限制进程对系统资源的访问。AppArmor(Application Armor)是一个安全模块,通过定义应用程序的安全策略来限制其行为。它使用配置文件(profile)来描述进程对文件、网络和其他资源的访问权限。通过本文的介绍,您已经了解了 SELinux 和 AppArmor 的基本概念、安装和配置方法。
linux-selinux功能及源码分析
03-22
该书详细介绍了linux中关于selinux部分功能的实现流程和关键代码分析
Linuxselinux的初级管理
qq_36016375的博客
04-22 7073
selinux的初级管理 1.什么是selinux selinux,内核级加强型防火墙 (对文件影响,安全上下文)对文件和服务进行标签,程序标签和文件标签不一致(看不了文件) (对服务影响) 把服务不安全的功能去掉,对程序功能进行限制,在内核上限制掉(删除不了了) selinux有disabled、permissive、enforcing三种级别 2.如何管理selinux级别 vim /etc/...
Linux进阶(11)--SELinux管理
小王的笔记仓库
04-03 1688
一.什么是SELinux 1.访问控制分类 DAC(Discretionary Access Control,自主访问控制) 依据进程的所有者与文件资源的rwx权限来决定有无访问权限。 缺点: 1.如果某个进程以root身份运行,可能被恶意目的 2.用户可以取得进程来获得文件的访问权限 DAC针对控制的主体是用户 MAC(Mandatory Access Control),强制访问控制 依据策略规则决定进程可以访问哪些文件。 优点: 即使是root用户,在使用不同进程时,所能取得的权限并不一定是root,需
Linux程序管理SELinux
Linux知识积累
07-17 473
一个程序被加载到内存当中运行,那么在内存内的那个数据就被称为进程(process)。进程是操作系统上非常重要的概念,所有系统上面跑的数据都会以进程的类型存在。1、什么是进...
调通SELINUX下的VSFTPD
weixin_34253539的博客
11-11 45
由于版本比较新,很多参数和以前找到的方案不一样了。。。 客户端我喜欢用FILEZILLA,显得比较尊重版权啦。。。
selinux管控linux系统安全设置
灰色轨迹
10-17 129
linux下,有种情况数据库启动不了,selinux改成permissive就可以了
数据通信 selinux ,linux引导过程与内核管理,Linux程序管理SELinux
weixin_39934063的博客
05-07 330
一个程序被加载到内存当中运行,那么在内存内的那个数据就被称为进程(process)。进程是操作系统上非常重要的概念,所有系统上面跑的数据都会以进程的类型存在。1、什么是进程(process)在Linux系统中,触发任何一个事件时,系统都会将它定义为一个进程,并且给予这个进程一个ID,称为PID,同时依据触发这个进程的用户与相关属性关系,给予这个PID一组有效的权限设置。1.1、进程与程序(proc...
嵌入式实践教程--自定义SELinux
Muggle的博客
12-03 1673
我们在自定义hal层/app时可能会遇到selinux权限的问题,这个时候就需要自定义selinux权限。一般来说vendor自定义的*.te都位于/device/manufacturer/device-name/sepolicy。 板级相关的xxx.mk文件会将te文件复制进文件系统。 1.sepolicy模版 在以下示例中,所有域都被授予向/dev/null读写数据的权限以及从/dev/zero读取数据的权限。 # Allow read / write access to /dev/nu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值