需执行如下命令: 代码如下: semanage port -a -t http_port_t -p - tcp port_number 查看当前允许的httpd端口: 代码如下

最新推荐文章于 2023-08-03 07:45:00 发布
最新推荐文章于 2023-08-03 07:45:00 发布
阅读量5.4k 收藏 14
点赞数 2
Selinux极大的增强了Linux系统的安全性,能将用户权限关在笼子里,如httpd服务,apache默认只能访问/var/www目录,并只能监听80和443端口,因此能有效的防范0-day类的攻击。举例来说,系统上的 Apache 被发现存在一个漏洞,使得某远程用户可以访问系统上的敏感文件(比如 /etc/passwd 来获得系统已存在用户),而修复该安全漏洞的 Apache 更新补丁尚未释出。此时 SELinux 可以起到弥补该漏洞的缓和方案。因为 /etc/passwd 不具有 Apache 的访问标签,所以 Apache 对于 /etc/passwd 的访问会被 SELinux 阻止。

CentOS系统自带的chcon工具只能修改文件、目录等的文件类型和策略,无法对端口、消息接口和网络接口等进行管理,semanage能有效胜任SELinux的相关配置工作。
  安装:
  代码如下:
  # yum -y install policycoreutils-python
  用法:
  semanage命令用来查询与修改SELinux默认目录的安全上下文。
  semanage fcontext [-S store] -{a|d|m|l|n|D} [-frst] file_spec
  semanage fcontext [-S store] -{a|d|m|l|n|D} -e replacement target
  主要参数:
  -a:添加
  -d:删除
  -m:修改
  -l:列举
  -n:不打印说明头
  -D:全部删除
  -f:文件
  -s:用户
  -t:类型
  r:角色
  基本使用:
  管理登录linux的用户和SELinux局限的用户之间的映射。
  代码如下:
  semanage login [-S store] -{a|d|m|l|n|D} [-sr] login_name | %groupname
  管理策略模块:
  代码如下:
  semanage module [-S store] -{a|d|l} [-m [–enable | --disable] ] module_name
  管理网络端口类型定义
  代码如下:
  semanage port [-S store] -{a|d|m|l|n|D} [-tr] [-p proto] port | port_range
  例:如apache采用非标准端口,需执行如下命令:
  代码如下:
  emanage port -a -t http_port_t -p tcp port_number
  查看当前允许的httpd端口:
  代码如下:
  # semanage port -l|grep http
  http_cache_port_t tcp 3128, 8080, 8118, 8123, 10001-10010
  http_cache_port_t udp 3130
  http_port_t tcp 8888, 80, 443, 488, 8008, 8009, 8443
  pegasus_http_port_t tcp 5988
  pegasus_https_port_t tcp 5989
  注意:8888是我刚才添加的
  管理网络接口类型定义
  代码如下:
  semanage interface [-S store] -{a|d|m|l|n|D} [-tr] interface_spec
  管理网络节点类型定义
  代码如下:
  semanage node [-S store] -{a|d|m|l|n|D} [-tr] [ -p protocol ] [-M netmask] address
  管理文件中映射定义
  代码如下:
  semanage fcontext [-S store] -{a|d|m|l|n|D} [-frst] file_spec
  semanage fcontext [-S store] -{a|d|m|l|n|D} -e replacement target
  例:让 Apache 可以访问位于非默认目录下的网站文件
  首先,用 semanage fcontext -l | grep ‘/var/www’ 获知默认 /var/www 目录的 SELinux 上下文:
  代码如下:
  /var/www(/.)? all files system_u:object_r:httpd_sys_content_t:s0
  从中可以看到 Apache 只能访问包含 httpd_sys_content_t 标签的文件。
  假设希望 Apache 使用 /srv/www 作为网站文件目录,那么就需要给这个目录下的文件增加 httpd_sys_content_t 标签,分两步实现。
  首先为 /srv/www 这个目录下的文件添加默认标签类型:semanage fcontext -a -t httpd_sys_content_t '/srv/www(/.)?’ 然后用新的标签类型标注已有文件:restorecon -Rv /srv/www 之后 Apache 就可以使用该目录下的文件构建网站了
  其中 restorecon 在 SELinux 管理中很常见,起到恢复文件默认标签的作用。比如当从用户主目录下将某个文件复制到 Apache 网站目录下时,Apache 默认是无法访问,因为用户主目录的下的文件标签是 user_home_t。此时就需要 restorecon 将其恢复为可被 Apache 访问的 httpd_sys_content_t 类型:
  代码如下:
  restorecon -v /srv/www/foo.com/html/file.html
  restorecon reset /srv/www/foo.com/html/file.html context unconfined_u:object_r:user_home_t:s0->system_u:object_r:httpd_sys_content_t:s0
  semanage fcontext -a -t httpd_sys_content_t “/web(/.*)?” //新建一条规则,指定/web目录及其下的所有文件的扩展属性为httpd_sys_content_t

文章转载至:
http://www.pgygho.com/help/fwq/10226.html

紫露易滴
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
semanage port -a -t http_port_t -p tcp 8909已杀死解决办法
Fay_Linux的博客
07-17 8166
步骤15:实现动态WEB内容 案例概述: 在server0上配置提供动态Web内容,要求如下 1> 动态内容由名为webapp0.example.com的虚拟主机提供 2> 虚拟主机侦听在端口8909 3> 从http://classroom.example.com/pub/materials/webinfo.wsgi 下载一个脚本,然后放在适当的位置,无论如何不要修改此文件的内...
Centos7 端口
qq_43404505的博客
10-13 220
semanage (SElinux Policy Management Tool),确切的说是 semanage port [option] 它并不是一个纯粹的查端口命令,一般加上 port 来查询端口,例如查询ssh端口命令: semanage port -a -t http_port_t -p tcp 82 添加类型为http_port_t的端口号为82 协议为tcp semanage port -d -t http_port_t -p tcp 82 删除82端口号 ss (another .
semanage命令(Linux)
qq_41960161的博客
08-16 8063
semanage命令用于管理SELinux的策略,格式为“semanage [选项] [文件]”。 SELinux服务极大地提升了Linux系统的安全性,将用户权限牢牢地锁在笼子里。semanage命令不仅能够像传统chcon命令那样—设置文件、目录的策略,还可以管理网络端口、消息接口(这些新特性将在本章后文中涵盖)。使用semanage命令时,经常用到的几个参数及其功能如下所示: Ø -l参数用...
semanage命令详解
热门推荐
Listen2You的博客
10-13 2万+
导读 semanage命令是用来查询与修改SELinux默认目录的安全上下文。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令semanage命令。下面让我们详细讲解一下chcon命令的使用方法。 语法 semanage {login|user|port|interface|fcontext|
linux增加端口失败,CentOS – semanage – 添加自定义端口失败
weixin_42515687的博客
04-30 565
我最近将我的一个应用程序服务器升级到CentOS 6(.2),并在我可以解决以下问题时准备好用于生产;每当我尝试通过semanage添加自定义http端口时,我不断收到以下错误消息:libsemanage.semanage_exec_prog: Child process /sbin/setfiles did not exit cleanly.libsemanage.semanage_instal...
修改Web服务器在端口82上服务
qq_51802559的博客
12-19 1566
修改Web服务器在端口82上服务 首先我们查看目前端口号,是80 接下来输入命令semanage port -a -t http_port_t -p tcp 82 可以看到,再次检查后监听端口没有变为82。不禁思考是不是指令错误,其实不是 解决方法: 输入命令:systemctl restart httpd (一定不能少的呢) 没错就是重启httpd 短小文章,希望能帮到在看的人儿呀~嘻嘻 ...
Linux-Security-Module.rar_LSM_SELinux_linux lsm
09-19
LSM的钩子函数是内核代码中的特定位置,它们在关键操作执行之前或之后被调用。例如,`security_file_permission()`函数在用户尝试访问文件时被调用,以确定该访问是否被允许。每个钩子函数都提供了插入安全检查的...
selinux-example_SELinux_
09-28
1. **文件上下文**:每个文件都有一个安全上下文,可通过`ls -Z`查看。`setenforce`命令可切换SELinux运行模式,`restorecon`用于恢复文件的正确上下文。 2. **服务与进程**:在SELinux中,服务或进程也有安全上...
device_qcom_sepolicy-legacy-um
02-10
Makefile是Unix/Linux环境中用于自动化编译和链接程序的文本文件,它定义了如何从源代码生成可执行文件或库。在Android开发中,Makefile用于构建系统组件,包括编译和打包SELinux策略。 `device_qcom_sepolicy-...
semanage命令 安全上下文查询与修改
01-20
SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令semanage命令。 语法格式:semanage [参数] 常用参数: -l 查询 -a 增加,你可以增加一些目录的默认安全上下文...
valheim-server:瓦尔海姆专用服务器
02-27
# semanage fcontext -a -t usr_t '/valheim(/.*)?' # restorecon -RFv /valheim/ 配置服务 Sysconfig valheim-sysconfig -> /etc/sysconfig/valheim valheim.service单位 系统备份单元valheim-backup.service ...
linux安装SELinux管理工具,【linux】SELinux工具:semanage的安装和使用
weixin_39552304的博客
05-03 1437
1、安装在ubuntu14.04上安装sudo apt-get install policycoreutils在CentOS7上安装sudo yum -y install policycoreutils-python2、semanage命令行参数$ semanage --helpsemanage用于配置SELinux策略的某些元素,而不要对策略源进行修改或重新编译。位置参数(子命令),用法 se...
Linux资源的SELinux context详解
成长的足迹
06-30 5757
Linux操作系统中的每个资源(如进程、文件描述符、文件、网络等),也被称为SELinux对象,都拥有一个特别的security label,也被称为SELinux label,或SELinux context,以表示该对象能够执行的permissions和operations。这是一个标识符,从Linux系统的细节中抽象出,只聚焦于系统资源的安全属性。通过使用SELinux context,就可...
linux 修改ssh端口
不会吉他的肌肉男不是好的挨踢男的专栏
06-09 418
为了生产环境服务器的安全,我们要把默认的一些端口改掉,今天我们就把22端口修改掉 1.修改配置文件 输入: vim /etc/ssh/sshd_config Ps:Port可以多个端口共存,逗号隔开即可 2.然后重启sshd就可以了 service sshd restart #重启sshd 或者 systemctl restart sshd #重启sshd 如果重启报错 使用这个命令 semanage port -l | grep ssh 查看SElinux允许的ssh的端口号 如果提.
CentOS7设置ssh服务以及端口修改
weixin_34195142的博客
12-03 301
2019独角兽企业重金招聘Python工程师标准>>> ...
控制SELinux端口标记
最新发布
K要努力的博客
08-03 267
控制SELinux端口标记
RHCSA之路----3、调试SELinux
Q先生
01-14 3804
1. 题目 3、调试SELinux 配置httpd在82端口上提供Web服务,满足以下要求: 1)在/var/www/html/下添加index.html文件 2)此Web服务器在系统启动时自动启动 3)确保SELinux保护机制运行在Enforcing模式 2. 解题 2.0 确认httpd服务状态 这里可能有3种状态. httpd没有安装 如果没装 yum install -y httpd httpd已经安装 rpm -qa httpd 2.1 配合selinux 2.1.1 确认seli
linux 端口上下文无法添加,如何使用semanage管理SELinux安全策略
weixin_34409895的博客
05-03 549
原标题:如何使用semanage管理SELinux安全策略Semanage是用于配置SELinux策略某些元素而无修改或重新编译策略源的工具。这包括将Linux用户名映射到SELinux用户身份以及对象(如网络端口,接口和主机)的安全上下文映射。实验环境Centos7.7操作系统Selinux已经开启开启方式:[root @localhost~]# sed -i '/^SELINUX/s/dis...
linux修改http端口80,在开启selinux的情况下,如何修改httpd的端口且服务能正常使用...
weixin_42628280的博客
04-30 861
本次测试将原有httpd的port 80 修改为801[root@localhost ~]# systemctl restart httpdJob for httpd.service failed. See ‘systemctl status httpd.service’ and ‘journalctl -xn’ for details.[root@localhost ~]# systemctl ...
semanage port -a -t redis_port_t -p tcp 8001
05-14
这个命令是在SELinux中添加一个新的TCP端口允许Redis服务使用该端口。具体来说,这个命令会将TCP端口8001添加到redis_port_t类型的SELinux策略中,以便Redis可以使用该端口。这样做的目的是增强系统的安全性,因为SELinux可以限制进程可以访问的资源和操作,从而降低系统受到攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值