RHCE 学习笔记(21) - SELinux

最新推荐文章于 2023-02-04 21:42:14 发布
最新推荐文章于 2023-02-04 21:42:14 发布
阅读量376 收藏
点赞数
分类专栏: Linux
原创作品,允许转载,转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://beanxyz.blog.51cto.com/5570417/1602424

这一节和老师学习了SELinux的基本知识。

SELinux的全称是Security Enhanced Linux, 直译就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全;SELinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有一个标签进行区分,只有对应的标签才能允许访问。否则即使权限是777,也是不能访问的。


这个标签在程序或者进程上叫做domain(域),在访问对象或者文件上叫做context (上下文)。


查看上下文可以通过ls -Z,查看域可以使用 ps Z, 我高亮的部分就是他的上下文了


wKiom1SzT0iRlcInAACd_AOzUtk058.jpg


以httpd为例,这个httpd的进程只能允许访问/var/www/html下的文档对象。


wKioL1SzUB_QT8YlAAJMqPE5cYY345.jpg

wKiom1SzT1uD4bTXAACsCr7xuyo163.jpg



下面做个小实验,新建一个index.html文档,打开没有问题


wKioL1SzUCXT3yJrAABhYCYv1xA312.jpg

wKiom1SzT2DSk9NCAABlzG8Jxws073.jpg


在root的家目录下创建一个index2.html文档,并剪切到/var/www/html目录下,可以发现其默认的上下文是继承 /home的,标签不匹配,因此无法访问


wKioL1SzUDHCIh7DAAFw6DBM-SA433.jpg



wKiom1SzT27zA4FnAAChsMlQcis659.jpg


我甚至收到了SELinux的警告信息,打开看看

wKioL1SzUEXgOlK8AANW1CDQOaY478.jpg



在 /var/log/audit/audit.log 也可以查看这个报错


wKioL1SzUE_jZ2nEAAAxoLH3Wh4237.jpg


wKiom1SzT4ajFynJAAMzcDtCwjY471.jpg


如何修复?有两种方式,一种是通过restorerecon( restore context) 修复继承当前目录默认的上下文;一种是通过chcon (change context) 修改当前的上下文


自动恢复

wKioL1SzUFngKXEPAAFNBt7A-qk441.jpg


wKiom1SzT5Ojoh_EAABV549KnYE778.jpg

或者强行指定另外一个文件的上下文来设置

wKioL1SzUF2jw_kQAABb1qnjxIk639.jpg


那么这个默认的上下文是哪里来的呢,我们可以通过semanage来配置


wKiom1SzT67CPG7BAAILFRPbThg150.jpg



首先查看一下默认的上下文

wKioL1SzUI_AJHiRAAI24HYTA9M616.jpg


然后可以通过-a -t来强行修改,修改之后再restorecon一下,就变成了默认的context


wKiom1SzT9PzxEkaAAHflSOqju0291.jpg


SELinux 里面有3种模式,分别是Enforcing, Permissive, 和 Disable。 Enforing不匹配的直接就报错挡住了; Permissive会报错但是不会挡住, Disable就直接关掉SELinux 


可以通过getenforce 查看 setenfore 来设定。 注意他没法直接设定 Disable

wKiom1SzT9uBMb2RAADvO3qAWGM207.jpg


Disable 需要修改配置文件来生效

wKiom1SzT-aCnkFqAAH9pjPCqzk695.jpg


修改之后重启就可以了

wKioL1SzULWDS3jTAAHl_91JgPw759.jpg


改回来,重启,开机会出现一个警告,SELinux重新打标签会花时间~~

wKiom1SzT_ChFLUuAADqu5dcGgs817.jpg


进入系统,再看看最后一个概念,SELinux的布尔值。这个布尔值类似一个开关,打开的话,他对应的一些服务就允许执行,否则的话就拒绝执行。


看看有哪些布尔值


wKioL1SzUMmAgevBAAFHgr-GXYg623.jpg


知道了布尔值的名字,可以通过sesearch 来确认他关联了哪些服务的域,比如httpd_enable_homedir允许下列规则,如果设置为off的话,那么他们都是无法访问的


wKiom1SzUBuCMBwFAAJ66AWsrBg948.jpg


除了命令行,我们还可以访问图形界面


wKioL1SzUOvAEAxVAAAvvRZRxwg982.jpg

wKiom1SzUDDy-YQBAAE-hsJGerY667.jpg


总结一下,如果搭配了某个服务器,然后客户端无法正常访问,应该按照下面的顺序进行排错:


  1. 该服务的配置文件中是否开启了相关的权限 ,比如是否允许匿名用户写入等等;

  2. 文件系统的权限,比如是否需要使用chmod修改权限

  3. SELinux的上下文和布尔值


例子(创建FTP访问,略)

本文出自 “麻婆豆腐” 博客,请务必保留此出处http://beanxyz.blog.51cto.com/5570417/1602424

kepa520
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RHCSA认证考试----3.配置 SELinux
jiang0615csdn的博客
10-29 750
RHCE认证考试
百战RHCE(第三十战:linux高级应用-SElinux极简应用1)
little_startoo的博客
05-28 225
哈喽哈喽哈喽,大家好啊,很高兴大家能看到这篇文章! 首先,本人目前是计算机专业的大一学生,基于对Linux操作系统的爱好,参与了RHCE的培训班,而我这次编写的 《百战RHCE》文章,是基于我自己的学习经验浓缩而来的,保证简洁,方便理解! 而作为一名大学生,我想通过坚持的高水平文章编写带给我自己本身经验的不断进步,同时也希望让更多的Linux新手能接触到更加系统的文章学习。本次《百战RHCE》,会由浅入深,从最基本的命令行,到编写非常复杂的Ansible 自动化脚本 因为本人和你一样也是学习者,所..
RHCE第七章 selinux
qq_50589028的博客
02-04 616
MAC可以针对特定的进程与特定的文件资源来进行权限的控制。系统资源都是通过程序进行访问的,如果将/var/www/html/权限设置为777,代表所有程序均可对该目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以写入该目录,而该进程是对整个internet提供服务的。以上两个文件的角色字段都是object_r,代表都是文件,/usr/sbin/httpd属于httpd_exec_t类型,/var/www/html/则属于httpd_sys_content_t类型。
2020红帽RHCSA认证300分真题讲解
05-19
每一个题目都有认真讲解解题思路,以及如何验证是否正常完成提供练习环境给大家进行练习
尚观Linux学习笔记RHCE笔记
06-13
记录自己在尚观Linux培训机构培训时,做的笔记,欢迎下载阅看。
RHCE笔记汇总-RHEL7.pdf
09-03
本人学习RHCE中所记录的笔记,包含Kickstart、 PXE、 Firewall防火墙、 SELinux、系统权限管理、高级网络设置、Postfix、FTP、HTTP、NFS、SMB、iSCSI、MariaDB、Shell脚本编程、容器和Docker
RHCE阶段笔记.pdf
05-31
RHCE阶段笔记.pdf
Redhat Linux RHCE 完整版学习笔记
最新发布
02-05
Redhat Linux RHCE 完整版学习笔记,非常详细的记录了整个RHCE学习过程中的学习笔记,对于有些linux基础的人来说,此文档可以大大的帮助你提升linux技能
RHCE 学习笔记 (1)
08-12
RHCE 红帽 Linux 学习笔记
SELinux中文学习资料深入版
09-14
难得的中文版SELinux学习资料。网上那些其他的翻译的实在烂。。。。
linux相关服务涉及用户家目录使用时的SElinux设置
完颜振江
01-26 407
这里的服务有时都要用到用户的家目录作为存储空间,SElinux默认规则的限制是无法实现的,但是可以通过修改某些规则来实现这些功能,这样做既保证服务的顺畅运行,又可以保证系统的安全,个人觉得很实用! [root@localhost ~]# getenforce (首先确认SElinux是开启的,没开启的话,请看之前的博文修改) Enforcing 1、apache服务中设置虚拟主机 首先设置虚拟主机,在用户目录下建立好相应的测试文档,并修改/etc/hosts文档(在linux主机本身测试的话),或者
RHCE-SELinux
Michael_XiaoQ的博客
07-10 176
selinux学习笔记
weixin_34050427的博客
11-22 192
SElinux(SecurityExtendlinux) RedhatEnterprise5支持内核实施的一项新的安全策略:SElinuxSElinux是由美国国防部让安全局针对计算机基础结构开发的,SElinux允许管理员定义高度灵活的策略,让linux内核把它作为日常操作的一部。 SElinux将每个程序都编入到SElinux域内,同时将每个资源放在S...
RHCE---SELINUX
qq_43775906的博客
03-03 269
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。 SELinux 主要作用就是最大限...
RHCSA之路----3、调试SELinux
Q先生
01-14 3667
1. 题目 3、调试SELinux 配置httpd在82端口上提供Web服务,满足以下要求: 1)在/var/www/html/下添加index.html文件 2)此Web服务器在系统启动时自动启动 3)确保SELinux保护机制运行在Enforcing模式 2. 解题 2.0 确认httpd服务状态 这里可能有3种状态. httpd没有安装 如果没装 yum install -y httpd httpd已经安装 rpm -qa httpd 2.1 配合selinux 2.1.1 确认seli
linux设置文件为不可访问权限,Centos给文件设置了777权限仍不能访问解决方案
weixin_42494796的博客
05-15 2401
Centos给文件设置了777权限仍不能访问:开启了SELinux导致1.查看SELinux状态:/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态SELinux status: enabled##也可以用这个命令检查getenforce2.关闭SELinux:a.临时关闭(不用重启机器):setenf...
红帽RHCESELinux
XiaoHG_CSDN的博客
11-08 290
SELinux SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。 SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控
linux rhce学习笔记
06-28
Linux RHCE学习笔记是一项非常重要的任务,因为它涉及到掌握Linux系统管理员的职责和技能。学习RHCE需要对Linux操作系统的基本概念、文件系统、权限管理、网络配置、服务和应用程序的安装和部署等方面有深入的了解和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值