Linux的selinux

最新推荐文章于 2020-12-03 16:33:36 发布
最新推荐文章于 2020-12-03 16:33:36 发布
阅读量174 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lm236236/article/details/83692297
版权

selinux内核级加强型火墙  

文件影响:CONTEXT 安全上下文  必须匹配才能访问
服务影响:getsebool功能开关

先将/etc/sysconfig/relinux文件下的disable改为enforcing,然后reboot重启


selinux设置后必须重启系统


setenforce 0  == 将/etc/sysconfig/relinux文件下的enforcing改为permissive,且不需要重启         警告


setenforce 1  == 将/etc/sysconfig/relinux文件下的permissive改为enforcing,且不需要重启         强制

如果移动文件到/var/ftp/,那么lftp登陆后查看文件就会出现警告,警告在/var/log/messages中。如果是强制状态,那么既会有警告也会看不到移动的文件,如果是警告状态,则只有警告,依然可以看见被移动的文件。

测试:
先在mnt下创建文件westosfile2,然后mv /mnt/westosfile2 /var/ftp
然后lftp 172.25.75.230  --> ls 如果是强制状态就看不见westosfile2,有警告,cat  /var/log/messages
如果是警告状态就可以看见westosfile2,有警告,cat  /var/log/messages

 

文件影响:

在enforcing下,如果上下文不匹配,那么lftp登陆就不会看见移动的文件

更改用户家目录 anon_root=/home/ftphome  (在/etc/vsftpd/vsftpd.conf下更改)


临时更改文件上下文:chcon -t public_content_t /ftphome/ -R      -R表示递归更改上下文

查看文件上下文:ls -Zd /ftphome

由上图可以看到,/ftphome的上下文由default_t改为了public_content_t

但是如果selinux文件下,从enforce到disable再到enforce,刚才已经更改的文件的上下文就会复原

由enforcing改为disabled:

由disabled改为enforcing:

/ftphome的上下文复原了:


永久更改文件上下文:
1.semanage fcontext -a -t public_content_t '/ftphome(/.*)?'  (/.*)?表示ftphome目录下的所有内容
2.读取: restorecon -RvvF /ftphome/
3.semanage fcontext -l | grep /var/ftp  查看列表

服务影响:

匿名用户enforce下,上传文件:
不要忘记更改家目录,配置文件使匿名用户可以上传(进入/etc/vsftp/vsftp.conf,将anon_upload_enable=YES前面的#去掉  )。
1.setsebool -P ftpd_anon_write on   开启上传服务,-P表示永久生效
2.getsebool -a | grep ftp  查看服务开启列表
3.chcon -t public_content_rw_t /var/ftp/pub/  使文件可读可写
4.ls -Zd /var/ftp/pub    查看上下文
测试:  首先,先进入ftp的配置文件配置匿名用户可以上传,否则即使开启了改对了文件的上下文,也无法上传文件,会出现550报错(550:服务本身功能未开启)。

开启上传服务,getseboll -a是查看所有服务开启列表,在这里仅看ftp的所有服务列表,因为我们只需要查看它是否已经开启了允许上传文件的服务。

查看pub目录的上下文,发现此目录没有打开读写功能。

打开pub读写功能,如果不打开读写,那么就无法在selinux为enforcing时上传文件

更改配置文件后一定记得要重启服务

setroubleshoot-server软件

当ftp服务器出现报错后,会在/var/log/audit/audit.log日志里生成报错原因,但没有解决办法
如果安装了setroubleshoot-server.x86_64软件,就会把/var/log/audit/audit.log日志读取,生成解决办法,这个解决办法的文件就是/var/log/messages
测试:1.在mnt下创建一个文件然后移动到ftp     

                    touch/mnt/file
                    mv /mnt/file /var/ftp

             2.为了方便查看效果,我们不妨先清空以上两个日志里的内容
                    >/var/log/audit/audit.log
                    >/var/log/messages

             3.lftp..........
                    lftp 172.25.254.116
                    ls 就会出来报错,此时查看日志

              4.查看日志
                    cat /var/log/audit/audit.log  报错原因
                    cat /var/log/messages    解决办法


如果卸载setroubleshoot-server.x86_64软件,就不会生成解决办法,只生成原因。

测试:1.卸载软件
                  yum remove setroubleshoot-server.x86_64

             2.为了方便查看效果,我们再次清空以上两个日志里的内容
                    >/var/log/audit/audit.log
                    >/var/log/messages

              3.lftp登陆,然后查看解决方案的日志
                   lftp .....  -->   ls    就会出来报错,此时查看日志
                   cat /var/log/audit/audit.log  报错原因
                   cat /var/log/messages    此日志没有关于报错的内容

lm236236
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linuxselinux基础配置教程详解
09-15
SELinux(Security-Enhanced Linux)的简单配置,涉及SELinux的工作模式、配置文件修改、查看和修改上下文信息,以及恢复文件或目录的上下文信息。这篇文章主要介绍了Linuxselinux基础配置,需要的朋友可以参考下
selinux安全上下文的管理及布尔值的设置
myhyyyyyy的博客
05-10 1185
selinux安全上下文的管理 1. ls -Z filename #查看文件的安全上下文 chcon -t 2. public_content_t filename #临时更改文件的安全上下文的类型 semanage fcontext -a -t public_content_t '/westos(/.)?’ #永久更改文件的安...
SELinux 入门
jinyuchuan的专栏
06-01 604
<br /> <br />几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。<br />SELinux 与强制访问控制系统<br />SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制
chcon 更改安全上下文 临时更改,永久更改
dreamer_xixixi的博客
05-17 9111
 chcon 改变上下文#change context 1.如何更改安全上下文  1&gt;临时更改  chcon -t 安全上下文  文件  chcon -t public_content_t /publicftp   -R   目录  实验1:  1.rm -fr /var/ftp/* 2.touch /mnt/westos  3.mv /mnt/westos /var/ftp/ ...
centos最最常用的一些操作命令
骑着代码去流浪
07-02 263
更改当前登录用户密码:passwd 更改其他用户密码:passwd 用户名 创建用户并在home创建相关文件夹:useradd worker -d /home/worker -m 查看防火墙:systemctl status firewalld dead表示未开启,running表示开启 开启防火墙:systemctl start firewalld 关闭防火墙:systemctl stop firewalld 查看某个端口是否通过防火墙:firewall-cmd--zone=public..
Selinux内核加强型火墙管理
weixin_46492219的博客
08-23 114
一、Selinux的状态与管理 1.1 selinux启动方式 vim /etc/selinux/config selinux=disabled:关闭selinux selinux=enforcing:开机设定为强制状态,此状态下selinux开启 selinux=permissive:开机设定为警告状态,此状态下selinux开启 selinux的开启与关闭需要重启系统才能更改 enforcing:不符合条件一定不允许,并会收到警告消息 permissive:不符合条件的会被允许,并会收到警告信息 se
临时/永久关闭Linux下的selinux
01-25
本资源介绍了如何临时关闭selinux、永久关闭selinux的方法
关闭selinux命令
01-25
关闭selinux命令
selinux实现为linux安全模块报告
12-28
美国NSA对selinux实现的整理报告,非常系统,详细,有助于了解linux
SelinuxSecurity Enhanced Linux)思维导图
11-17
SelinuxSecurity Enhanced Linux)思维导图,基于项目实际经验的总结。
Linux从入门到精通——selinux
weixin_30834019的博客
08-12 129
##selinux## 安全增强型linuxselinux是最最全面的的安全系统,所以会对文件和服务有一定的限制。以ftp服务为例:1.环境的设定 因为之前学的是ftp,所以环境会对后面的实验有所影响,要先还原一下 删除 /etc/vsftpd/ 下的所有文件 再reinstall一下vsftpd 再重新启动一下systemctl restart vsftpd 这样环境就...
SELinux 的基本介绍及用法
awoyaoc的博客
05-14 8305
SELinux 的基本介绍及用法安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。进行实验时首先 [root@localhost ~]# rm -rf /etc/vsftpd/ [root@localh...
Linux中内核级加强型火墙的管理
但行好事
12-03 105
文章目录1、Selinux的功能2、Selinux的状态及管理3、Selinux的安全上下文查看临时修改安全上下文永久修改安全上下文4、SEBOOL5、SEPORT6、 setrouble 1、Selinux的功能 selinux: 对于文件的影响: 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载 标签内记录程序和文件的安全上下文(context) 对于程序功能的影响: 当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭 当需要此功能时需要手动开启功能开关 此开关叫做
linuxselinux强制访问控制
Ying_smile的博客
05-16 4933
selinux selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
基于Linuxselinux中安全上下文、布尔值、监控冲突的管理及服务端口的设定
yifan850399167的博客
05-16 1718
一、SELINUX   1.基本 SELINUX 安全性概念 SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制, 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 ,你...
chcon命令详解
IT骆驼翔子
04-16 5088
chcon -t texrel_shlib_t /opt/oracle/product/10.2.0/db_1/lib/libnnz10.so chcon命令:修改对象(文件)的安全上下文。比如:用户:角色:类型:安全级别。 命令格式:    Chcon [OPTIONS…] CONTEXT FILES…..    Chcon [OPTIONS…] –reference=PEF_FILES
selinux管理与应用
iteye_3782的博客
09-12 468
1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo...
23.Linux内核中SELinux简析(简介、安全上下文、SELinux的布尔值、SELinux报错解决)
愿你走出半生,归来仍是少年!
02-19 1698
1.SELinux简介 1)SELinux 全称 Security Enhanced Linux (安全强化 Linux),是美国国家安全局2000年以 GNU GPL 发布,是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统 的用途在于增强系统抵御 0-Day 攻击(利用...
vsftpd学习笔记
两步一脚印的专栏
11-27 5419
这几天在RHEL6.5下捣腾vsftpd服务,在这里记录下自己碰到的问题和解决方法。 1.  匿名用户上传文件 (1) 修改vsftpd.conf文件,使"write_enable=YES"和"anon_upload_enable=YES" (2) 确保上传目录有写的权限 ftp上传文件出现”vsftpd 553 could not create file”现象,排除不是上面两点引起的,可
Linux selinux
最新发布
07-27
Linux SELinux 是一种安全增强机制,可以限制应用程序、用户和服务对系统资源的访问,从而提高系统的安全性。它基于安全策略来实现资源访问控制,可以防止恶意应用程序和用户对系统资源的滥用,从而保护系统免受攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值