chcon 更改安全上下文 临时更改,永久更改

最新推荐文章于 2024-04-09 17:30:00 发布
最新推荐文章于 2024-04-09 17:30:00 发布
阅读量9.2k 收藏 9
点赞数 3
分类专栏: chcon 安全上下文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamer_xixixi/article/details/80347905
版权

 chcon 改变上下文#change context

 1.如何更改安全上下文
安全上下文:
(一)类型强制策略的安全上下文

所有的操作系统访问控制都是基于与主体和客体相关的访问控制属性的。在SELINUX中,访问控制属性乘>坐安全上下文,所有的客体(文件,进程间通信,通信管道,套接字,网络主机等)和主体(进程)有一
个和他们相关的但一安全上下文。一个安全上下文有三个元素:用户,角色,类型标示符。指定和显示一
个安全上下文常用的格式如下:
用户(user):角色(role):类型标示符(type)
每一个元素的字符串标示符被定义在SElinux的策略语言中,,仅仅理解一个有效的安全上下文一定要有>
一个有效的用户,角色,类型标示符每个标示符的命名空间都是正交的。安全上下文是一个简单的,一致
的访问控制属性。在SElinux中,类型标示符是安全上下中决定访问的主要部分。由于历史原因,进程的>类型经常被称作域(domain)

(二)检查安全上下文

SElinux通过添加-Z选项修改了系统命令来展示客体和主题的安全上下文。
ls -Z 显示了文件系统对象的安全上下文
ps -Z 展示了进程的安全上下文
id 展示shell的安全上下文即您当前的用户,角色和类型

  1>临时更改

  chcon -t 安全上下文  文件

  chcon -t public_content_t /publicftp   -R   目录

  实验1:
  
 1.rm -fr /var/ftp/*
 
 2.touch /mnt/westos
  
 3.mv /mnt/westos /var/ftp/
    移动是个重命名的过程,文件的属性,权限不会被修改,复制是新建的过程,文件的属性,权限会被覆盖

4.lftp 172.25.254.132

  

  5.systemctl status vsftpd

  6.systemctl stop firewall #关闭防火墙

  7.firewall-cmd --list-all #列出防火墙的所有状态
 
  8.firewall-cmd --reload #重新加载

  9.cd /var/ftp/

  10.ls
  
  11.touch file1 #在/var/ftp/建立文件其类型为public_content_t
  
  12.ls
  
  13.ls -Z
  
  14.lftp 172.25.254.132

  
  15.semanage fcontext -l | grep /var/ftp  #查看/var/ftp的上下文,包括目录本身

  16.semanage fcontext -l | grep /var/ftp/  #只有目录下的文件和目录的安全上下文

  17.chcon -t public_content_t westos  #修改/var/ftp/的安全上下文类型

  18.semanage fcontext -l | grep   /var/ftp/ #查看/var/ftp/的安全上下文列表

  19.ls -Z #查看/var/ftp的属性及安全上下文类型

2>永久更改上下文件:  
semansge fcontext -l #列出内核安全上下文列表内容

semanage fcontext -a -t pubic_content_t '/publicftp(/.*)?'#添加目录到内核安全上下文列表中,类型为public_content_t
  
restorecon -FvvR /publicftp/ #重新加载安全上下文列表,即刷新
  实验二:
  
  1  mkdir /westos #让/westos/目录下的上下文永久生效
  
  2  touch /westos/westosfile
  
  3  vim /etc/vsftpd/vsftpd.conf #更改匿名用户家目录
  
  4  anon_root=/westos
  
  5  systemctl restart vsftpd.service #重启vsftpd.service
  
  6  lftp 172.25.254.132 #登陆查看,不能被看到
  
  7  ls
  
8  chcon -t public_content_t /westos -R #更改/westos本身,以及目录下的文件的上下文

9  ls -Zd /westos #查看文件上下文

10 lftp 172.25.254.132 #登陆查看,可以被看到

11 ls

  12 vim /etc/sysconfig/selinux #重启selinux两次,分别让disabled,enforcing生效
  SELINUX=disabled
  reboot
  vim /etc/sysconfig/selinux
  SELINUX=enforcing
  reboot
 
  13 systemctl start vsftpd.service
 
  14 systemctl enable vsftpd.service
 
  15 systemctl stop firewall
 
  16 systemctl disable firewall
 
  17 firewall-cmd --reload
 
  18 ls -Zd /westos #查看/westos的上下文更改是否还生效,结果表示该更改是临时的


19 lftp 172.25.254.132
 
20 ls #看不见/westos下的文件


对比/var/ftp/和/westos在永久上下文列表:

  21 semanage fcontext -l | grep /var/ftp #查看/var/ftp的上下文是否在永久上下文中
  
  22 semanage fcontext -l | grep /westos #查看/westos的上下文是否在永久上下文中

  23 semanage fcontext -a -t public_content_t '/westos(/.*)?' #-a 表添加;-t 类型,将/westos本身以及目>录中的所有的文件目录的上下文类型添加到永久上下文中
  
  24 semanage fcontext -l | grep /westos  #查看是否添加成功
  
  25 restorecon -FvvR /westos/ #重新加载,刷新配置
  
  26 lftp 172.25.254.132
  
  27 ls
  
  28 ls -Zd /westos #永久生效

##touch .autorelobel 让selinux 自动作初始化

 
dreamer_xixixi
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux配置和更改安全上下文
04-23 1万+
配置SELinux 我们已经在Selinux的由来和安全上下文中了解到SELinux的基本概念。 我们知道SELinux会对进程和文件进行权限控制,而让阻止某些进程访问不该访问的文件。 实际上,在真实场景中,虽然SELinux为默认的内核模块,然而实际上,我们还是可以控制其开启和执行。 首先,让我们查看默认的当前的SELinux配置: $ cat /etc/sysconfig/selinux...
chcon命令 修改文件的安全上下文
01-09
chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。 语法格式: chcon [参数] 常用参数: -h 影响符号连接而非引用的文件 -R 递归处理...
6.6.7、SELinux 安全上下文修改和设置:chcon、restorecon
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 493
安全上下文修改是必须掌握的,其主要是通过两个命令来实现。
Linux command chcon 修改文件安全上下文
爱死亡机器人
07-16 453
chcon chcon命令SELinux chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。使用–reference选项时,把指定文件的安全环境设置为与参考文件相同。chcon命令位于/usr/bin/chcon。 语法 chcon [选项]… 环境 文件… chcon [选项]… [-u 用户] [-r 角色] [-l 范围......
selinux基本概念 | 开启selinux策略 | 安全上下文临时修改 | 安全上下文永久修改 | 如何修复selinux | selinux对服务功能的影响 | 系统自动排错
Minz
05-11 2341
一,Security-Enhanced  LinuxSELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制,在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限标签(控制哪些用户对哪些文件具有哪些访问权,SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 ...
[Android]设置进程的安全上下文
aaajj的专栏
12-31 1259
为了能够清楚的理解进程的上下文,我们来做一个试验, 通过在rc文件中进行注册启动一个进程,即让init进程来fork出一个进程。 以/system/bin/service程序为例,我们在里面增加一个长时间的sleep,以便于我们观察。 增加service.te #service.te typemTestService, domain, domain_deprecated, m
服务器修改文件命令,使用linux中chcon命令修改文件的安全上下文
weixin_42525632的博客
08-06 469
使用linux中chcon命令修改文件的安全上下文发布时间:2020-07-20 09:17:22来源:亿速云阅读:107作者:清晨栏目:服务器小编给大家分享一下使用linux中chcon命令修改文件的安全上下文,希望大家阅读完这篇文章后大所收获,下面让我们一起去探讨吧!chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。语法格...
mysql修改数据库默认路径无法启动问题的解决
12-16
解决这个问题的方法是使用`chcon`命令来修改目录的安全上下文。对于MySQL,正确的上下文类型是`mysqld_db_t`。因此,你可以使用以下命令: ```bash chcon -R -t mysqld_db_t /db/mysql ``` 这个命令会递归地将`/db...
操作系统安全:实验配置selinux策略(实验一).docx
06-02
- `chcon`命令用于更改文件或目录的安全上下文,例如使用`-t`指定类型,`-R`进行递归操作,`--reference`参考另一个文件的上下文。 6. **管理SELinux布尔值**: - `getsebool`用于查看和修改布尔值,这些值可以...
Mysql修改datadir导致无法启动问题解决方法
09-10
2. **使用`chcon`命令**:你可以临时改变目录的SELinux上下文,让MySQL可以访问。例如,如果MySQL的默认`datadir`上下文是`mysql_db_t`,可以运行: ``` chcon -Rv --type=mysql_db_t /mnt/hgfs/mysql_data ``` ...
ERROR: Cannot chcon libjvm.so 日志
03-27
chcon命令是用于临时永久改变文件的安全上下文,而不能执行此操作可能是由于策略限制或者权限不足。 出现"Cannot chcon libjvm.so"错误的原因可能有以下几点: 1. **权限问题**:当前用户可能没有足够的权限执行...
安全杂谈SSSH(SELinx+SSH)
chupaleng7218的博客
08-03 2984
Selinux 介绍 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需...
chcon部分关联无法应用于文件
jshagw的博客
11-13 5916
移动mysql目录时,最后执行 chcon -R -t mysqld_db_t /opt/mysql 提示 “chcon部分关联无法应用于文件” chcon: can't apply partial context to unlabeled file `localhost.err'   原因是selinux状态为disabled 这两个都是控制权限了,在selinux打开的情况下,通过...
docker 其他电脑访问权限_Docker容器挂载主机目录访问出现Permission denied的解决办法...
weixin_42498487的博客
01-17 370
Docker挂载主机目录,访问相应的文件出现Premission denied的权限访问问题挂载后,查看相应的文件出现如下的提示:[root@ba471da26d07 soft]# lsls: cannot access jdk-8u102-linux-x64.tar.gz: Permission deniedhadoop-2.7.2.tar.gz jdk-8u102-linux-x64.tar....
selinux安全上下文的管理及布尔值的设置
myhyyyyyy的博客
05-10 1262
selinux安全上下文的管理 1. ls -Z filename #查看文件的安全上下文 chcon -t 2. public_content_t filename #临时更改文件的安全上下文的类型 semanage fcontext -a -t public_content_t '/westos(/.)?’ #永久更改文件的安...
semanage命令详解
热门推荐
Listen2You的博客
10-13 2万+
导读 semanage命令是用来查询与修改SELinux默认目录的安全上下文。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下chcon命令的使用方法。 语法 semanage {login|user|port|interface|fcontext|
Linux中内核级加强型火墙selinux的管理和使用
zxn_0823的博客
05-26 224
Selinux的功能 观察现象 此实验前需将/etc/vsftpd/vsftpd.conf还原如下 当Selinux未开启时 在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root ...
linux命令chcon,chcon命令详解
weixin_39754142的博客
04-30 191
chcon命令:修改对象(文件)的安全上下文。比如:用户:角色:类型:安全级别。命令格式:Chcon [OPTIONS…] CONTEXT FILES…..Chcon [OPTIONS…] –reference=PEF_FILES FILES…说明:CONTEXT 为要设置的安全上下文FILES 对象(文件)--reference 参照的对象PEF_FILES 参照文件上下文FILES ...
基于springcloud微服务开发平台
最新发布
07-22
采用前后端分离的模式,前端开源两个框架:Sword (基于 React、Ant Design)、Saber (基于 Vue、Element-UI) 后端采用SpringCloud全家桶,并同时对其基础组件做了高度的封装,单独开源出一个框架:BladeTool BladeTool已推送至Maven中央库,直接引入即可,减少了工程的臃肿,也可更注重于业务开发 集成Sentinel从流量控制、熔断降级、系统负载等多个维度保护服务的稳定性。 注册中心、配置中心选型Nacos,为工程瘦身的同时加强各模块之间的联动。 极简封装了多租户底层,用更少的代码换来拓展性更强的SaaS多租户系统。 借鉴OAuth2,自研多终端认证系统,可控制子系统的token权限互相隔离。 借鉴Security,自研Secure模块,采用JWT做Token认证,可拓展集成Redis等细颗粒度控制方案。 稳定生产了六年,经历了从 Camden -> Hoxton -> 2023 的技术架构,也经历了从fat jar -> docker -> k8s + jenkins的部署架构。 项目分包明确,规范微服务的开发模式,使包与包
Selinux安全上下文详解
06-01
SELinux是一种强制访问控制(MAC)机制,它可以在 Linux 操作系统上为进程、文件、网络端口等实体定义安全上下文安全上下文由三个部分组成:用户、角色和类型。每个实体都有一个唯一的安全上下文,这个安全上下文决定了该实体可以访问的资源和操作。 用户(User):用户是一组权限的集合,它定义了用户可以访问的系统资源和操作。每个用户都有一个唯一的数字标识符(UID)。 角色(Role):角色是一组权限的集合,它定义了用户在特定环境中可以访问的资源和操作。角色可以与用户关联,也可以与进程关联。 类型(Type):类型是一种标识符,它定义了一个对象的安全属性。在 SELinux 中,每个进程、文件、网络端口都有一个唯一的类型标识符。 安全上下文可以通过命令行工具 setfiles、chcon、restorecon 等来设置和修改,也可以通过 SELinux 策略文件(policy)来定义。SELinux 策略文件包括两个部分:类型定义文件和策略模块文件。类型定义文件定义了每个类型的属性,策略模块文件定义了如何将这些属性应用于系统资源和操作上。 总之,SELinux的安全上下文提供了一种强制安全性的机制,可以帮助保护系统资源和操作免受未经授权的访问和攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值