seLinux

最新推荐文章于 2024-09-03 14:09:43 发布
最新推荐文章于 2024-09-03 14:09:43 发布
阅读量241 收藏
点赞数
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j2941174356/article/details/127754102
版权

安全强化的Linux   -->开启后  自定义的文件都需要更改标签

  1. 运行模式是  当主体访问目标的时候 需要向策略询问是否可以访问 策略就会去查找本地AVG 当不能访问的时候则需要 向安全服务器询问 若能访问 则保存到本地的AVG 下次可以直接访问策略
  2. [root@localhost ~]# ls -Z   查看文件的安全上下文协议
    1. 安全上下文用冒号分为四个字段: Identify:role:type:-->身份标识: 角色:类型:MLS(MCS默认为s0--灵敏度设置)
  3. 支持的三种模式: 
    1. 查看当前的模式:  [root@localhost ~]# getenforce
    2. enforcing: 强制模式 --> 开启selinux  限制domain/type
    3. perminssive : 宽容模式 --> 只会有提示信息
    4. disabled : 关闭  -->  不运行selinux 
  4. chcon [-R] [-t type] [-u user] [-r role] 文件 -R:连同该目录下的子目录也同时修改; -t:后面接安全上下文的类型字段; -u:后面接身份识别; -r:后面接角色 chcon [-R] --reference=范例文件 文件 将文件的安全上下文按照范例文件修改 系统默认的目录都有特殊的selinux安全上下文,例如 /var/www/html 原本就是httpd可以读取的目录。 所以如果修改错误可以使用 restorecon 还原默认的安全上下文。
    1. chcon -t httpd_sys_content_t /www/index.html
  5. 开启seLinux: 将文件的权限更改了 ----开启selinux需要将自定义的文件修改
    1. 所以使用回滚操作将权限回滚回去   : restorecon  httpd_sys_content_t /www/index.html      [-Rv] 文件或目录   (临时生效  后面是文件标签 以及路径) --> 相当于快照  返回上一次模式的安全上下文
    2. semanage fcontext -a -t httpd_sys_content_t /www/index.html (回滚永久生效   后面是文件标签 以及路径)    
      1. -a 增加一些目录的默认安全上下文
      2. -m 修改
      3. -d  删除
  6. 布尔值  : root@localhost ~]# getsebool -a #列出目前系统上面的所有布尔值条款
    1. 当布尔值关闭后 即使设置标签但是也无法访问
    • off  -->关
    • on -->  开
    1. 配置设置: 使用文件传输NFS访问HTTPD 协议的时候  需要开启 HTTP访问 nfs 的布尔值
      1. [root@localhost ~]# setsebool httpd_use_nfs on -->开启httpd协议访问 nfs
    2. 布尔值大于标签   当修改标签 和布尔值 都可以是功能实现的时候 则可以 修改标签或者布尔值都可以实现 修改布尔(通过NFS传递过来的标签不可以修改 ,只能通过修改标签来实现 )
  7. 图形化 控制selinux
    1. 启动图形化界面:system-config-selinux  (有图形化界面不用安装 )
      1. 启动后可使用图形化界面来勾选

给外网邮件发送信息

  1. 安装客户端: yum install mailx - y
  2. 配置文件: vim /etc/mail.rc
    1. 添加信息

set from=XXXXXXXX(邮箱账户)@163.com                   #邮箱

set smtp=smtp.163.com             #默认使用这个邮箱

set smtp-auth-user=XXXXXXXXX(邮箱账户)@163.com  #邮箱

set smtp-auth-password=OYQZWEQLEDHTJOCR  # 授权码

set smtp-auth=login   #验证登录

  1. 写一个邮件信息:
    1. echo "内容"  | mail -s "主题" xxxxxx@163.com(邮箱)
  1. 将Linux的错误发送给邮箱:-->写一个脚本

[root@localhost ~]# cat a.sh

mem=`df -h | grep -w / | tr -s " "   | cut -d " " -f 4 |cut -c 1-2`

if [ $mem -lt  13  ];then

 echo "空间不足" | mail -s "预警" XXXXXXXX(邮箱账户)@163.com

else

 echo "$mem=空间大小"

fi

  1. bash a.sh  运行脚本文件

储存功能:对配置进行优化

tuned

1.安装软件

[root@localhost ~]# dnf install tuend

2.更改性能配置

[root@localhost ~]# tuned-adm profile balanced

[root@localhost ~]# tuned-adm active

3.优化配置

[root@localhost ~]# tuned-adm recommend

4.关闭

[root@localhost ~]# tuned-adm off

[root@localhost ~]# tuned-adm active

stratisd:通过Stratis,可以使用精简配置(thin provisioning),快照(snapshots)和基于池(pool-based ) 的管理和监控等高级存储功能

  1. 安装软件:[root@kongd ~]# yum install stratisd stratis-cli  -y
    1. 增加硬盘
  2. 启动服务:
    1. [root@kongd ~]# systemctl enable --now stratisd.service
    2. [root@kongd ~]# systemctl is-enabled stratisd.service enabled
  1. 创建池:
    1. [root@kongd ~]# stratis pool create redhat /dev/nvme0n2 #池的名字redhat,在池中 加入设备/dev/nvme0n2
  2. 构建文件系统:
    1. [root@kongd ~]# stratis filesystem create redhat rhce
    2.  [root@kongd ~]# stratis filesystem list
  3. 挂载:
    1. [root@kongd ~]# mkdir /mnt/stratis
    2. [root@kongd ~]# mount /stratis/redhat/rhce /mnt/stratis

VDO:重复数据优化操作

  1. 虚拟数据优化,使用重复数据删除,压缩和精简配置的形式为Linux提供 了内联数据缩减,即通过删除存储设备上的重复数据或者压缩数据来优化存储空间。设置VDO卷时,可 以指定要在其上构造VDO卷的块设备以及计划提供的逻辑存储量。
  2. 安装软件: yum install vdo kmod-kvdo -y
    1. 需要添加新的硬盘
    2. 创建vod卷

vdo create --name=vdo1 --device=/dev/nvme0n2 -- vdoLogicalSize=5G

  1. 查看vdo卷:
    1. [root@kongd ~]# vdo list

  1. 分析一个vdo卷(deduplication删除重复信息, compression压缩文件)
    1. [root@kongd ~]# vdo status --name vdo1
    2. [root@kongd ~]# vdo status --name=vdo1 | grep Deduplication  --查看去重是否开启
  1. 给vdo一个xfx文件系统
    1. [root@kongd ~]# mkfs.xfs -K /dev/mapper/vdo1  (-K 防止丢弃未使用的块)

  1. 挂载
    1. [root@kongd ~]# udevadm settle
    2.  [root@kongd ~]# mkdir /mnt/vdo1 
    3.  [root@kongd ~]# mount /dev/mapper/vdo1 /mnt/vdo1
雨季小朋友
关注
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2033
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文,SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root root system_.
Linuxselinux安全上下文
Ying_smile的博客
10-13 617
查看selinux安全上下文:ls -Z [root@localhost ~]# touch /var/ftp/hellohello 新建文件测试 [root@localhost ~]# ls /var/ftp/ 查看目录ftp中的内容 hellohello pub [root@localhost ~]# touch /mnt/haha1 [root@localhost ~]# mv /mnt/haha1 /var/ftp/haha1 #复制是新建的过程,移动是重命名的过程,文件系统权限和属性不会改
配置selinux的策略_selinux策略配置
weixin_33668998的博客
12-24 829
SELinux (Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行...
selinux-ls
Z的博客
07-09 987
ls -Z #Display security context so it fits on most displays. Displays only mode, user, group, security context and file name. [hello@localhost ~]ls−Z[hello@localhost ] ls -Z [hello@localhost ~]
【学习笔记】Linux系统基础知识2——ls命令详解
qq_33216613的博客
09-03 2144
linux系统中ls命令详解
se linux ll-z,Linux中的SELinux
weixin_36213934的博客
05-25 469
SElinux的前身是NSA(美国国家安全局)发起的一个项目。它的目的是将系统加固到可以达到军方级别。为什么NSA选择Linux呢?在目前市面上大多数操作系统都是商用闭源的,只有Linux是开源的,这样修改并加入这项功能就方便许多,而且没有版权纠纷。所以,现在selinux就成为了Linux内核的一部分。在了解selinux之间,我们需要知道DAC和CS的概念,它们是linux系统本身的安全机制。...
linux ls-z,ls -Z显示结果解释? - 系统管理 - LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区! - Powered by Discuz!...
weixin_39751076的博客
05-15 551
通过man ls,对-Z参数的结束如下:-Z, --contextDisplaysecuritycontextso it fits on most displays.Displays only mode,user, group, security context and file name.然后:[root@maomao43 /]# ls -Zsystem_ubject_r:bin...
Linux——管理SELinux安全性
weixin_61895606的博客
03-23 294
管理SELinux安全性
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux
wdirdo的博客
08-29 301
Security-Enhanced Linux 安全性和易用性相矛盾,因此目前一般不使用SELinux。 系统是否启用SELinux? 文件权限后面带.小点<扩展属性为selinux标签>,或者使用getenforce查看selinux状态 禁用selinux:   修改/etc/selinux/config中SELINUX=disabled 其中由disabled -->enf...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的LinuxSELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
SELINUX
qq_43008530的博客
11-14 652
1. 了解selinux (1)什么是selinux Selinux,内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 (2)selinux的三个模式 Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELi...
在Ubuntu环境下载、查看和修改源代码
qq_64292712的博客
08-09 5467
在Ubuntu环境下,下载 ls 命令的软件包,阅读并尝试修改其源代码,同时测试对 ls 命令功能的修改。
Linux命令-ls
weixin_55905026的博客
04-23 291
ls ls命令用于列出文件和目录。默认上,他会列出当前目录的内容。带上参数后,我们可以用ls做更多的事情。这里是一些在日常操作中使用到的ls用法的示例。 1.ls不带参数 列出文件或目录 [root@localhost ~]# ls anaconda-ks.cfg 公共 视频 文档 音乐 initial-setup-ks.cfg 模板 图片 下载 桌面 [root@localhost ~]# ls -a . .bashrc .ICEauthori
Selinux安全上下文详解
weixin_34257076的博客
11-22 1900
SELinux介绍DAC:自由访问控制MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将...
SELinux SELinux SELinux
最新发布
09-14
SELinux SELinux SELinux
SEAndroid策略分析
热门推荐
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
Linux命令详解之 ls
Super辉sir的博客
07-11 3485
linux 命令详解 ## 命令名称: ls ( list files / list directory contents )列举目录内容 ## 命令用法: ls [选项]... [文件]... []表示可选参数 ## 命令概述: 将文件信息列举出来(默认当前目录),不指定排序方式的情况下,以文件名的方式排序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值