Linux入门 19_Linux中内核级加强型火墙的管理

最新推荐文章于 2024-07-20 09:08:34 发布
最新推荐文章于 2024-07-20 09:08:34 发布
阅读量56 收藏
点赞数 1
分类专栏: Linux入门 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46502521/article/details/119325376
版权

一.Selinux的功能

1.观察现象
当Selinux未开启时

在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd 时显示:

  root  8546  0.0  0.0  26952   408 ?  Ss 10:35  0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

当selinux开启:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd 时显示:

system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0  0.0 26952   412 ?        Ss   10:50   0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)

对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

二.Selinux的状态及管理

1.selinux的开启
vim /etc/selinux/config

SELINUX=disabled			#selinux关闭
SELINUX=enforcing			#selinux开机设定为强制状态此状态为selinux开启
SELINUX=permissive			#selinux开机设定为警告状态此状态为selinux开启

在这里插入图片描述

“selinux开启或关闭需要重启系统”

enforcing:不符合条件一定不能被允许,并会收到警告信息

permissive:不符合条件被允许,并会收到警告信息

selinux状态的查看:

getenforce

selinux开启后强制和警告级别的转换

setenforce 0	##警告
setenforce 1	##强制

selinux日志位置:/var/log/audit/audit.log

三.Selinux的安全上下文

1.查看
ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps axZ ##查看进程的安全上下文

2.修改安全上下文
#临时修改
#此方式更改的安全上下文在selinux重启后会还原

chcon -t 	标签			文件|目录	
chcon -t 	public_content_t 	/var/ftp/westosfile1
chcon -Rt 	public_content_t	/westosdir	#修改目录及目录中的所有子文件的安全上下文

3.永久修改安全上下文
#如果需要特殊指定安全上下文需要修改内核安全上下文列表

semanage fcontext -l 		##查看内核安全上下文列表 
semanage fcontext -a -t public_content_t  '/westosdir(/.*)?'
restorecon -RvvF /westosdir/
touch  /.autorelabel		##重启系统时selinux初始化文件标签开关文件

四.SEBOOL

getsebool -a ##现实服务的bool值
setsebool -P ftpd_anon_write on #更改

五.SEPORT

getenforce 查看selinux状态
打开linux 重启
setenforce 0|1 (0–enforcing 1–permissive)
默认端口22

semanage port -l | grep ssh		查看ssh端口
semanage port -a -t ssh_port_t -p tcp  1111	#将ssh端口改为1111
semanage port -d -t ssh_port_t -p tcp  1111	#删除1111这个端口

六.setrouble

/var/log/audit/audit.log	##selinux警告信息
/var/log/messages			##selinux问题解决方案
setroubleshoot-server		##此软件功能是采集警告信息并分析得到解决方案存放到message中

semanage port -d -t ssh_port_t -p tcp  1111
> /var/log/audit/audit.log		#先清空这两个日志文件
>/var/log/messages				

systemctl restart sshd			#查看警告信息
systemctl stop sshd				#查看解决方案(注意:这里日志提供的解决方案可以解决当下问题,但是有可能会影响其他文件或者系统配置)
阿王不想秃头
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux内核加强型火墙管理(Selinux
weixin_47408850的博客
11-14 695
一、Selinux的状态及管理 1、selinux的开启和关闭 SELINUX=disabled #selinux关闭 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启 enforcing: 不符合条件一定不能被允许,并会收到警告信息 permissive: 不符合条件被允许,并会收到警告信息 注:sel...
Linux内核加强型火墙管理
weixin_44717560的博客
11-19 947
Linux内核加强型火墙管理一、selinux的状态及管理1.selinux的开启(永久性)2.临时修改selinux状态二、Selinux的安全上下文1.查看2.修改安全上下文1.临时修改2.永久改变三、SEBOOL和SEPORT的更改1.SEBOOL2.SEPORT的更改四、setrouble1.先将查找错误的工具卸载掉2.将setroubleshoot-server.x86_64装上 一、selinux的状态及管理 1.selinux的开启(永久性) vim /etc/selinux/confi
Linux运维入门19.selinux管理
Stella_Potter的博客
11-07 400
还记得我们在上一节配置ftp服务时第一个关闭的selinux吗? selinux  称为内核加强型火墙 主配置文件/etc/sysconfig/selinux 改成enforcing reboot后即生效 作用:给进程打上标签,即CONTEXT(安全上下文),进程只能访问与它标签相符的文件 (ls -Z 查看标签) drwxr-xr-x. root root unconf...
Linux入门和安装
飞鱼的博客
07-11 827
linux百度网盘地址 提取码:n19g ##一、Linux操作系统的安装 1、为了方便演示和自我练习,先安装虚拟机软件 2、常用的虚拟机软件: a、VirtualBox b、Vmware worksation c、Virtual PC 3、在安装虚拟机软件的时候,如果安装失败,可能是未在BIOS开启虚拟化 BIOS --》Security --》Virtualization 4、开始安装...
linux_kernel_map.zip_linux_linux 内核_linux_kernel_map
09-22
Linux内核映射图(Linux Kernel Map)是理解操作系统核心工作原理的重要工具,它展示了Linux内核的内存布局和各种数据结构的关系。这份名为"linux_kernel_map.zip"的压缩包包含了一个名为"linux_kernel_map.png"的...
[linux内核及其内核源码分析].zip_linux_linux 内核_linux 内核源码_linux内核源码_内核
09-23
Linux内核是操作系统的核心部分,负责管理系统的硬件资源,提供基础服务给上层的应用程序,以及维护系统的稳定性。深入理解Linux内核对于系统管理员、软件开发者以及任何对计算机底层运作感兴趣的人来说都至关重要。...
Linux-kernel.zip_linux编译内核_内核_编译内核
09-23
本文将深入探讨“Linux-kernel.zip”的主题,包括Linux编译内核内核调试以及80386的分段机制,这些都是Linux系统管理员和开发者必备的知识点。 首先,让我们了解一下Linux编译内核的过程。当需要对内核进行定制...
Linux内核重配置及编译.rar_linux_linux 内核_linux 配置_linux内核_linux编译内核
09-21
对于GRUB,这通常涉及到编辑`/etc/grub.d/10_linux`或`/boot/grub/grub.cfg`文件,将新内核添加到启动菜单。最后,使用`update-grub`命令生成新的GRUB配置,使更改生效。 在实际操作,可能还会遇到各种问题,如...
Linux kernal 核心文手册.rar_kernal_linux_linux 内核_linux 核心_linux2.6
09-19
Linux内核是操作系统的核心部分,负责管理系统的硬件资源,提供给上层应用程序和服务的基础接口。在"Linux kernal 核心文手册.rar"这个压缩包,包含了对Linux内核的详细解读,主要针对文用户,帮助他们更好地...
Linux -软件安装
z2331198564653的博客
07-18 879
项目开发好需要部署,而项目本身可能依赖其他软件。这时在部署项目时就需要安装依赖的软件。比如: jdk mysql tomcat redis rabbitmq es等。
Linux的环境变量
qhy850716的博客
07-17 564
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统的很多配置在我们登录Linux时就已经被加载到bash了,也就是内存。
linux学习笔记整理: 关于linux:Shell脚本 2024/7/20;
最新发布
gzx233的博客
07-20 852
Shell脚本的使用
Linux服务器Java环境搭建】010在linux安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 967
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
Linux 权限
includemainprinf的博客
07-18 674
Linux操作系统,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同时可以在工作,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1120
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux】深入探索`cp`命令:文件复制的全面指南
lph159的博客
07-18 384
cp命令用于复制文件或目录的内容。cp [选项] 源文件 目标文件或目录使用cp命令可以在文件系统创建新的副本,无论是单个文件还是整个目录树。接下来我们将详细介绍cp命令的各个选项及其用法。
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 770
在计算机基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK。
Linux上的系统服务——DNS、WEB、NFS 和 AutoFS 服务的详细配置步骤
qq_68600196的博客
07-17 724
现有主机 node01 和 node02,完成如下需求:1、在 node01 主机上提供 DNS 和 WEB 服务2、dns 服务提供本实验所有主机名解析3、web服务提供 www.rhce.com 虚拟主机4、该虚拟主机的documentroot目录在 /nfs/rhce 目录5、该目录由 node02 主机提供的NFS服务共享6、该目录可以通过autofs服务实现自动挂载7、所有服务应该在重启之后依然可以正常使用。
Linux管理实战指南:从入门运维
Linux管理是一份针对Linux初学者、系统管理员和运维人员的实用指南,旨在帮助他们提升Linux服务器的管理和效率。该文档涵盖了多个核心主题,从Linux系统的基础知识到高操作技巧。 首先,文档介绍了Linux的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿王不想秃头

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值