Linux系统工程师3.2Linux中内核级加强型火墙的管理

最新推荐文章于 2024-05-22 20:33:04 发布
最新推荐文章于 2024-05-22 20:33:04 发布
阅读量163 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59744025/article/details/119508217
版权

目录

一.Selinux的功能 :

二.Selinux的状态及管理 :

三.Selinux的安全上下文 :

四.SEBOOL :

五.SEPORT : 

六.setrouble :

一.Selinux的功能 :

        1.观察现象



        当Selinux未开启时 :
        在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
        当使用ls -Z /var/ftp查看文件时显示"?"
        ps auxZ  | grep vsftpd 时显示:
        -    root  8546  0.0  0.0  26952   408 ?  Ss 10:35  0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf        
        

        当selinux开启:
        在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
        匿名用户可以通过设置后仍然不能上传文件
        当使用ls -Z /var/ftp查看文件时显示信息
        ps auxZ  | grep vsftpd 时显示:
        system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0  0.0 26952   412 ?        Ss   10:50   0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf


        selinux:
        对于文件的影响:
        当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
        标签内记录程序和文件的安全上下文(context)

    
        对于程序功能的影响:
        当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
        当需要此功能时需要手动开启功能开关
        此开关叫做sebool

 

二.Selinux的状态及管理 :

   1.selinux的开启    

vim /etc/selinux/config
SELINUX=disabled	#selinux关闭
SELINUX=enforcing	#selinux开机设定为强制状态此状态为selinux开启
SELINUX=permissive	#selinux开机设定为警告状态此状态为selinux开启
"selinux开启或关闭需要重启系统"

enforcing:
不符合条件一定不能被允许,并会收到警告信息

permissive:
不符合条件被允许,并会收到警告信息


selinux状态的查看:
getenforce

selinux开启后强制和警告级别的转换
setenforce 0    ##警告
setenforce 1    ##强制

selinux日志位置:
/var/log/audit/audit.log

三.Selinux的安全上下文 :

1.查看 :

        ls -Z                    ##查看文件的安全上下文
        ls -Zd                  ##查看目录的安全上下文
        ps axZ                ##查看进程的安全上下文

2.修改安全上下文 :

        2.1临时修改 :此方式更改的安全上下文在selinux重启后会还原

        chcon -t        标签            文件|目录    
        chcon -t        public_content_t     /var/ftp/westosfile1
        chcon -Rt     public_content_t    /westosdir    #修改目录及目录中的所有子文件的安全上下文        

        

        2.2永久修改安全上下文 :如果需要特殊指定安全上下文需要修改内核安全上下文列表

        semanage fcontext -l         ##查看内核安全上下文列表
        semanage fcontext -a -t public_content_t  '/westosdir(/.*)?'
        restorecon -RvvF /westosdir/
        touch  /.autorelabel           ##重启系统时selinux初始化文件标签开关文件

        tips:重启过后发现安全上下文依旧没变,要 touch /.autorelabel 在重启

四.SEBOOL :


setenforce 0
getsebool  -a                 ##现实服务的bool值
setsebool  -P ftpd_anon_write on    #更改bool值

        实验为更改fpt的匿名write开启服务

        然后将pub的安全上下文加上rw权限

        再次进入lftp客户端服务,就可以在pub目录中进行文件的上传

五.SEPORT : 

semanage port -l | grep ssh                                        ##查看端口列表
semanage port -a -t ssh_port_t -p tcp  2223            ##给ssh添加可用端口       

semanage port -d -t ftp_port_t -p tcp   2223             ##删除ssh的可用端口 

也可以 vim /etc/ssh/sshd_config中进行端口的改变,并且systemctl restart sshd

六.setrouble :

setroubleshoot-server是采集警告信息并分析得到解决方案存放到message中的一款软件。

/var/log/audit/audit.log    ##selinux警告信息
/var/log/messages           ##selinux问题解决方案

 实验:

        var/ftp中的file3文件和ftp程序的安全上下文不同,然后清空/var/log/audit/audit.log与/var/log/messages

 

客户端访问时只能看到安全上下文相匹配的文件,看不到file3

在ftp服务器中查看警告 ,并且根据警告进行修改

然后在客户端可以看到file3了

 tips: setroubleshoot-server仅仅只是提供解决方案,不会考虑到该方案的安全性,所以执行解决方案时需慎重考虑。

 

 

舔羊阿沸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux基础知识(selinux的初管理
excellent_L的博客
11-06 2510
selinux 一、简单了解selinux selinux内核加强型火墙 起到限制服务功能,限制服务访问两个功能(在使用lftp访问时体现) CONTEXT 安全上下文 程序安全上下文和文件安全上下文匹配时访问被允许 程序安全上下文和文件安全上下文不匹配时访问不被允许 getsebool 功能开关 对服务 功能开关 对文件 安全标签 查看selinux的状态 执行getenforce 修改...
linux安装sealert工具,selinux-setroubleshoot安装及详解
weixin_39647773的博客
05-11 503
selinux对超管理员也有效安全加强型linux自主访问体制 :又大变小user group other\ | /file/ | \r w x强制访问体制 最小权限:由小该大打开SELINUXsestatus 查看slinux状态vi...
SElinux管理
parameter_的博客
04-26 354
SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。 基本SElinux安全概念SELINUX(安全增强型 L
SELINUX=enforcing时无法启动httpd服务的解决方案(semanage命令以及setroubleshoot-server插件的妙用)
最新发布
qq_42750608的博客
05-22 832
SELINUX=enforcing时无法启动httpd服务的解决方案(semanage命令以及setroubleshoot-server插件的妙用)
Linux学习笔记(10)
SZDTBFWL的博客
08-07 238
FTP 是File Transfer Protocol(文件传输协议)的英文简称,而文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当,用户经常遇到两个概念:”下载”(Download)和”上传”(Upload)。”下载”文
linux2.6.1内核源码注释
03-10
Linux 2.6.11.12内核源码注释是一份极其珍贵的资料,它涵盖了Linux内核的多个关键组件,包括同步机制、信号处理、内存管理、进程调度、文件系统以及网络系统。这些是Linux内核运行的核心组成部分,对于理解Linux操作...
Linux内核增加一个系统调用.pdf
07-13
- 在某些版本的Linux,获取`sys_call_table`的地址可能需要特殊的技巧,如使用内核调试信息或内核模块的特定接口。 在完成以上步骤后,开发者可以成功地在Linux内核增加一个新的系统调用,并编写出对应的用户...
Linux系统内核的DeviceMapper机制
03-02
Devicemapper是Linux2.6内核提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略,当前比较流行的Linux下的逻辑卷管理器如LVM2...
嵌入式系统/ARM技术Linux内核的基本步骤
11-08
一、本次内核编译新内核所涉及软件版本  “gcc –version”可查寻GCC版本------4.3.2 20081105(Red Hat 4.3.2-7)  “make –v”可查询 Gnu make版本-----3.81  “ld –V(v)可查询GNU ld版本-----2.18.50.0...
Selinux
DCHXMJ的博客
03-09 380
1.开启 Selinux 的作用>给程序及程序里面的文件一个安全上下文2.Selinux关闭时的状况vim /etc/sysconfig/selinux selinux 的配置文件 SELINUX=enforcing selinux 开启 SELINUX=disabled selinux 关闭getenforce 查看 selinux 状态 [root@d
Linux内核加强型火墙管理
weixin_44717560的博客
11-19 947
Linux内核加强型火墙管理一、selinux的状态及管理1.selinux的开启(永久性)2.临时修改selinux状态二、Selinux的安全上下文1.查看2.修改安全上下文1.临时修改2.永久改变三、SEBOOL和SEPORT的更改1.SEBOOL2.SEPORT的更改四、setrouble1.先将查找错误的工具卸载掉2.将setroubleshoot-server.x86_64装上 一、selinux的状态及管理 1.selinux的开启(永久性) vim /etc/selinux/confi
Linux15-SELinux
苦行僧的妖孽日常
03-29 1013
强制访问控制SELinux权限基本知识。 更改SELinux模式、上下文、布尔值及故障排除。
单元2-9:Linux内核加强型火墙管理
Ma_JunSSR的博客
05-21 115
1.Selinux的功能 观察现象 当Selinux未开启时 在/mnt建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: · - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/ vsftpd.conf 当selinux开启: 在/mnt建立文件被移动
Linux内核加强型火墙管理
qq_47656380的博客
08-31 224
selinux的功能 观察现象,当selinux未开启时 在/mnt下创建文件再移动到/var/ftp,用ls -Z 查看 用ps -auxZ | grep vsftp查看 尝试在客户端连接 修改配置文件匿名用户可以写入目录 当selinux开启时 vim /etc/selinux/config(开启后reboot重启) 在/mnt创建文件并移动到/var/ftp/ 用vsftp服务无法访问 使用ls -Z 查看 ps -auxZ | grep vsftp查看 匿名用户在通过修改配置文件
安全增强机制--Selinux
noflag的博客
05-10 564
1.基本 SELINUX 安全性概念 SELINUX(Security Enhanced Linux),意思是安全增强型Linux, 是可保护你系统安全性的额外机制 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 (若要访问文件 ,你必须具有普通访问权限和 SELinux 访问权限。因此 , 即使以...
Linux系统内核加强型火墙管理(selinux的功能,状态及管理,selinux安全上下文,sebool,seport,setrouble
lijua9794的博客
06-25 246
一.selinux的功能1.观察现象: 当selinux未开启时 在/mnt建立文件被移动到/var/ftp下可以被ftp访问到 匿名用户可以通过设置上传文件 当使用ls -Z查看文件显示? ps auxZ | grep vsftpd 时显示: 当selinux开启: 在/mnt建立文件被移动到/var/ftp下不可以被ftp访问到 匿名用户可以通过设置后仍然不可以上传文件 当使用ls -Z查看文件显示信息 ps auxZ | grep vsftpd 时显示 sel.
Linux系统管理内核模块与驱动程序实践
本章小结主要涵盖了Linux系统配置与管理教程内核模块和驱动程序编程。在学习这部分内容时,理解Linux内核模块的机制至关重要。内核模块是Linux内核功能的可插入部件,它们允许在需要时动态加载或卸载特定的功能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值