linux下的selinux安全阻止问题及解决方案

最新推荐文章于 2024-05-13 11:53:26 发布
最新推荐文章于 2024-05-13 11:53:26 发布
阅读量3.3k 收藏
点赞数
文章标签: linux access service scripting server cgi

今天搭建好FTP后,我用创建的linux用户不能登陆,回显的结果是:

500 OOPS: cannot change directory:/home/linux

查了下原因,原来是SElinux的配置问题,SELinux阻止vsftp用户访问主目录

下面是解决方法:

如果启用了SELinux,则本地用户通过ftp访问服务器时,将会发生如下错误:
  500 OOPS: cannot change directory:/home/user
  Login failed.
  在系统日志中也可以看到如下信息:
  [root@web ~]# tail /var/log/messages
  Sep 5 08:30:59 web setroubleshoot: SELinux is preventing the ftp daemon from reading users home directories (./home). For complete SELinux messages. run sealert -l 81cf3268-4d97-449a-9949-3a08ceef49b6
  按照其中所述,运行
  [root@web ~]# sealert -l 81cf3268-4d97-449a-9949-3a08ceef49b6
  Summary:
  SELinux is preventing the ftp daemon from reading users home directories (./home).
  Detailed Description:
  SELinux has denied the ftp daemon access to users home directories (./home). Someone is attempting to login via your ftp daemon to a user account. If you only setup ftp to allow anonymous ftp, this could signal a intrusion attempt.
  Allowing Access:
  If you want ftp to allow users access to their home directories you need to turn on the ftp_home_dir boolean: "setsebool -P ftp_home_dir=1"
  The following command will allow this access:
  setsebool -P ftp_home_dir=1
  按照其中描述,执行该命令:
  [root@web ~]# setsebool -P ftp_home_dir=1

之后本地用户就可以用FTP登录该服务器了。
=================================================================================

 

下面是SELINUX -- setsebool的常用设置

===ftp===
 //If you want to share files anonymously
chcon -R -t public_content_t /var/ftp
//If you want to setup a directory where you can upload files
chcon -t public_content_rw_t /var/ftp/incoming
You must also turn on the boolean allow_ftpd_anon_write
setsebool -P allow_ftpd_anon_write=1
//If you are setting up this machine as a ftpd server and wish to allow users to access their home directorories
setsebool -P ftp_home_dir 1
//If you want to run ftpd as a daemon
setsebool -P ftpd_is_daemon 1
//You can disable SELinux protection for the ftpd daemon
setsebool -P ftpd_disable_trans 1



===httpd===
//If you want a particular domain to write to the public_content_rw_t domain
setsebool -P allow_httpd_anon_write=1
or
setsebool -P allow_httpd_sys_script_anon_write=1
//httpd can be setup to allow cgi scripts to be executed
setsebool -P httpd_enable_cgi 1
//If you want to allow access to users home directories
setsebool -P httpd_enable_homedirs 1
chcon -R -t httpd_sys_content_t ~user/public_html
//httpd is allowed access to the controling terminal
setsebool -P httpd_tty_comm 1
//such that one httpd service can not interfere with another
setsebool -P httpd_unified 0
//loadable modules run under the same context as httpd
setsebool -P httpd_builtin_scripting 0
//httpd scripts are allowed to connect out to the network
setsebool -P httpd_can_network_connect 1
// You can disable suexec transition
setsebool -P httpd_suexec_disable_trans 1
//You can disable SELinux protection for the httpd daemon by executing
setsebool -P httpd_disable_trans 1
service httpd restart

===named===
//If you want to have named update the master zone files
setsebool -P named_write_master_zones 1
//You can disable SELinux protection for the named daemon by executing
setsebool -P named_disable_trans 1
service named restart

===nfs===
//If you want to setup this machine to share nfs partitions read only
setsebool -P nfs_export_all_ro 1
//If you want to share files read/write
setsebool -P nfs_export_all_rw 1
//If you want to use a remote NFS server for the home directories on this machine
setsebool -P use_nfs_home_dirs 1

===samba===
//If you want to share files other than home directorie
chcon -t samba_share_t /directory
//If you want to share files with multiple domains
setsebool -P allow_smbd_anon_write=1
//If you are setting up this machine as a Samba server and wish to share the home directories
setsebool -P samba_enable_home_dirs 1
//If you want to use a remote Samba server for the home directories on this machine
setsebool -P use_samba_home_dirs 1
//You can disable SELinux protection for the samba daemon by executing
setsebool -P smbd_disable_trans 1
service smb restart

===rsync===
//If you want to share files using the rsync daemon
chcon -t public_content_t /directories
//If you want to share files with multiple domains
setsebool -P allow_rsync_anon_write=1
//You can disable SELinux protection for the rsync daemon by executing
setsebool -P rsync_disable_trans 1

===kerberos===
//allow your system to work properly in a Kerberos environment
setsebool -P allow_kerberos 1
//If you are running Kerberos daemons kadmind or krb5kdc
setsebool -P krb5kdc_disable_trans 1
service krb5kdc restart
setsebool -P kadmind_disable_trans 1
service kadmind restart

===nis===
Allow your system to work properly in a NIS environment
setsebool -P allow_ypbind 1
hiphen1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
12-16
在这种情况下,问题出在MongoDB尝试写入 `/data/mongodb/run/mongod.pid` 文件,但被SELinux阻止了。SELinux会根据预定义的策略来决定哪些进程可以对哪些文件进行何种操作。默认情况下,MongoDB可能没有权限在新的...
解决SELinux is preventing *** 的问题
有头发的代码匠的博客
11-14 5846
也可直接在配置文件【/etc/sysconfig/selinux】中设置SELinux=disabled,配置后需要重启计算机,如果没有时间重启可以使用。查看了/etc/systemd/system/ 下面的服务文件,文件存在,于是执行systemctl daemon-reload,发现还是不行。禁用SELinux 之后服务可以正常找到,到现在还不知道SELinux为什么要阻止对文件进行读取访问。有大佬知道的望评论指点迷津。最近在公司做一个软件迁移的工具时,将软件的服务迁移之后,使用。
SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port XXX
至虛極,守靜篤
03-09 4390
环境:CentOS8 今天,由于需要把httpd的端口改为一个自定义的端口,结果修改后,httpd启动失败。查看syslog发现报错:SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 。 从日志看,显然是被SELinux给拦截了。 SELinux为系统里的所有端口进行分配。缺省条件下,所有小于1024的端口都标识为保留端口类型 reser...
启动项目时出现SELinux is preventing
最新发布
weixin_61367575的博客
05-13 351
SELinux正在阻止systemd对文件AB.sevice进行读取访问。启动项目时出现SELinux is preventing****方法一:暂时禁用SELinux。方法二:禁用SELinux
SELinux系统防护:掌握SELinux保护机制的状态控制
彭淦淦的博客
05-13 601
2.1 问题 本例要求掌握SELinux保护机制的状态控制,以及简单防护策略的调整。 一方面,学会转换SELinux运行状态,比如使SELinux为Enforcing强制模式。 另一方面,熟悉SELinux对Web目录的保护: 先创建网页目录及文件/webdir1/index.html,内容为 ntd666 然后将/webdir1目录mv到/var/www/html/目录下 确保可访问 http://虚拟机IP地址/webdir1/ 还有,熟悉SELinux对Web端口的保护: 配置httpd服务监听82
LINUX(redhat)学习之环境变量与Docker
qq_36265384的博客
07-04 1212
查看环境变量 echo $PATH 环境变量配置路径 -------------------全局变量(针对任何用户)-------------------- 最先去读取 /etc/profile 文件 接着 读取 /etc/profile.d/ 目录下的文件 --------------------------------------------------------------...
SELinux category
zs12344444的专栏
11-18 6784
http://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html   几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访
Linux 2.6内核下LKM安全性研究
04-18
同时针对基于LSM框架的SELinux模型保护LKM安全的不足之处,提出了使用LSM扩展技术在init_module函数的前后位置各放置安全钩子函数的解决方案,从而防止已经躲过安全性检查链接进内核的恶意模块对诸如sys_call_table...
linux下mysql提示mysql deamon failed to start错误的解决方法
12-15
如果确认数据目录和日志目录的权限及所属用户设置正确,那么问题可能出在SELinux安全增强型Linux)上。SELinux是一种强制访问控制机制,可能会阻止MySQL访问某些目录。你可以通过运行 `getenforce` 命令来检查当前...
Linux 2.6内核下LKM安全性研究.pdf
09-06
Linux 2.6内核下LKM安全性研究》这篇文献主要探讨了在Linux 2.6内核中,可加载内核模块(Loadable Kernel Modules, LKM)的安全问题及其解决方案。LKM允许用户在不重新编译内核的情况下动态添加功能,这同时也带来...
关于ssh连不上问题的解决方法(必看)
09-15
以下是一些常见的解决方案: 1. **检查SSH服务状态**: 确保SSH服务正在运行。在Linux系统中,可以使用以下命令来检查和启动SSH服务: ```bash sudo systemctl status sshd ``` 如果服务未启动,你可以启动...
Linux8安装达梦8数据库
weixin_43775431的博客
09-21 832
这是夜说的第二篇学习文章,安装达梦8数据库,为后面的学习提供操作环境。
[异常处理]mysql8 SELinux is preventing from name_bind
大猴子
07-18 1080
my.cnf 配置lower_case_table_names=1导致无法启动。SELinux安全机制禁止了mysql的其他端口绑定,导致无法通信。
SELinux入门:了解和配置SELinux semanage
洪文聊架构
12-24 8129
几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。   SELinux 与强制访问控制系统     SELinux 全称 Security Enhanced Linux (安全强化
mysql远程访问权限设置
梦想专栏
11-09 1309
mysql访问权限设置(转)   1)确认一下3306是否对外开放,mysql默认状态下是不开放对外访问功能的   查看的办法如下:   netstat -an | grep 3306    显示结果:   tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN    从上面可以看出,mysql的3306端口只是监听本地的连接,这样就阻碍
针对 CentOS 的 SELinux 拦截 vsftpd 问题(不关闭SELinux)
热门推荐
programer_bei的博客
08-27 1万+
VSFTPD是一个FTP服务器程序,然后SELinux是CentOS的防火墙组件。由于 vsftpd 默认被 SELinux 拦截,所以会遇到的FTP以下的问题: 226 Transfer done (but failed to open directory).(传输完成,但是打开路径失败) 550 Failed to change directory(更改路径失败) 553 Could not c
SELinux基本概念及基本配置
雁过留痕
03-18 1165
SELinux从出现至今,已经走过将近13年历史,然而在Linux相关QQ技术群或者Linux相关论坛,经常有人遇到问题问题都归咎与 SELinux,如httpd各项配置都正常,但客户就是无法访问;又比如vsftpd配置均正常,但客户端访问提示无法转换家目录。于是乎很多人都 对SELinux有了极大的偏见,认为SELinux带来的似乎只有麻烦,于是很多人选择在安装系统第一件事就是将SELinux设置
开启 selinux 后 zabbix 监控数据不正常
s2059869931的博客
06-02 543
记开启 selinux 后监控数据不正常server开启selinux 后的报错信息按说明查看状态按报错信息说明的解决方法重启后正常 ##问题描述: server开启selinux 后,zabbix监控不到zabbix-server数据,提示zabbix-server is running 的值是 no(client端的 selinux 不用设置, firewall 要开启 10050 端口) server 关闭selinux 监控正常,开启后监控不到数据 server开启selinux 后的报错信息 [r
Linux permission denied 解决方法
07-27
当您在 Linux 中遇到 "Permission denied" 错误时,这通常表示您没有足够的权限执行特定的操作。以下是一些解决方法: 1. 检查文件或目录的权限:使用 `ls -l` 命令查看文件或目录的权限,确保您具有执行、读取或写入的适当权限。如果需要更改权限,可以使用 `chmod` 命令进行修改。 2. 使用 sudo 运行命令:如果您是普通用户,而不是管理员或超级用户,尝试在命令前面加上 `sudo`,以便以管理员权限运行该命令。例如:`sudo <command>`。 3. 检查文件或目录所属的用户和组:使用 `ls -l` 命令查看文件或目录的所有者和所属组。确保您是该文件或目录的所有者或所属组的成员。如果需要更改所有者或所属组,可以使用 `chown` 命令进行修改。 4. 检查挂载点权限:如果您在挂载点上遇到权限问题,确保挂载点本身具有适当的权限。 5. 检查 SELinux 或 AppArmor:某些 Linux 发行版可能使用 SELinux 或 AppArmor 来限制进程的访问权限。您可以通过禁用或配置这些安全模块来解决问题。 6. 检查磁盘空间:如果您在写入文件时遇到权限问题,可能是因为磁盘空间已满。使用 `df -h` 命令检查磁盘空间,并清理不需要的文件以释放空间。 7. 检查防火墙规则:防火墙规则可能会阻止某些网络访问。确保您的防火墙规则允许所需的访问。 这些是一些常见的解决方法,但实际解决方法可能因具体情况而异。在尝试更改权限或执行敏感操作之前,请确保您了解其影响,并注意潜在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值