Selinux的解决方案

最新推荐文章于 2024-07-24 16:45:55 发布
最新推荐文章于 2024-07-24 16:45:55 发布
阅读量212 收藏 2
点赞数
分类专栏: rhcsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigar_/article/details/103034038
版权

Selinux的解决方案

1.Selinux的功能及其对系统的影响

selinux:内核级加强型防火墙
selinux( 安全增强型 Linux ) 是可以保护系统安全性的额外机制
通俗的来说,selinux的作用就是给系统中开启的文件和程序加载一个标签,每个特定的程序对应一个特定的标签;给系统中的功能添加一个开关,这个开关由selinux来控制,通过selinux打开开关,系统的功能才能正常运行
selinux对系统的影响:
举例说明:比如在做ftp服务时,我将selinux设置为关闭状态,ftp服务的功能可以正常使用,但我现在将selinux设置为开启状态,ftp的一些服务就不能正常使用了。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.显示及更改Selinux模式

在这里插入图片描述

  • 配置文件更改selinux状态
vim /etc/sysconfig/selinux		##编辑selinux配置文件

在这里插入图片描述

  • 命令方式更改selinux状态
getenforce	##查看selinux状态
setenforce	##改变selinux状态 0--Permissive 1--Enforcing

注意:命令方式只能使selinux在警告状态和强制状态中切换,设置selinunx开启到关闭或关闭到开启,必须用更改配置文件的方式
在这里插入图片描述

3.Selinux中对文件安全上下文的设定

  • 显示 SELinux 文件上下文:“Z”
ls -Zd /dir									##显示指定目录安全上下文

在这里插入图片描述

  • 临时更改:
chcon -t 安全上下文 文件
chcon -t public_content_t /westos/ -R		##更改westos安全上下文为public_content_t

在这里插入图片描述
注意:/var/ftp/… 这个目录里面的文件,安全上下文是固定的,而其他目录中的文件安全上下文不是固定的,所以更改是临时的,在更改状态并重启后设定会还原

  • 永久更改:
semanage fcontext -l						 ##查看安全上下文文件目录
semanage fcontext -a -t public_content_t '/westos(/.*)?'	##设定westos目录下的文件安全上下文为public_content_t
semanage fcontext -l | grep westos			 ##查看目录中westos安全上下文
restorecon -RvvF /westos/					 ##刷新

在这里插入图片描述

4.管理Selinux布尔值bool

sebool值是控制服务功能的开关

getsebool -a | grep 服务名称					##查看指定服务布尔值
getsebool -a | grep ftp						##查看ftp服务布尔值
setsebool -P 服务 on|off						##在这里on=1 off=0
setsebool -P ftpd_anon_write on				##打开匿名用户上传功能

测试1:
在设置bool值之前使用本地用户无法上传文件,设置后可以上传
注意:bool值是selinux给系统附加的一个开关,要实现功能必须保证功能本身是开启的,再设定bool值,功能才能正常使用
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
测试2:
在设置bool值之前使用匿名用户无法上传文件,设置后发现也不能上传,此时我们就需要用到安全上下文中的内容,去更改pub目录的安全上下文,更改后才可以正常上传
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5.Selinux的排错

  • 软件安装
yum install setroubleshoot-server -y	 	##这个软件会提供解决策略
cat /var/log/messages						##查看日志(日志中有解决策略)
  • 工作原理

setroubleshoot-server 侦听 /var/log/audit/audit.log 中的审核信息并将简短摘要发送至 /var/log/messages
/var/log/audit/audit.log 用于在该文件中生成所有事件的报告

  • 测试:
touch /mnt/file
mv /mnt/file /var/ftp/pub
> /var/log/audit/audit.log				##清空该日志文件中的内容
> /var/log/messages						##清空该日志文件中的内容
lftp ip									##查看pub目录下的文件没有看到file
cat /var/log/audit/audit.log			##可以看到查看mnt被拒绝的记录
cat /var/log/messages					##可以看到解决策略

Then execute:
restorecon -v ‘/pub/file’

解决:

restorecon -v /var/ftp/pub/file

再进入lftp就可以看到file

注意:必须安装 setroubleshoot-server 软件包 , 才能将SELinux消息发送至 /var/log/messages
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

_nigar
关注
专栏目录
Linux中selinux的初步介绍
moxiliushui的博客
08-12 401
一、什么是selinux selinux是linux系统内核级加强型防火墙 selinux作用: 1.限制程序访问,程序访问文件必须有匹配的上下文 2.限制程序功能,把程序不安全功能屏蔽 二、selinux的常用命令 1.selinux状态的查看 getenforce       ##查看状态 selinux的状态有三种: enforcing         ##强制 pe...
selinux内核加强型防火墙对ftp,http部署影响,troubleshooting
dreamer_xixixi的博客
05-17 364
SELINUX1.什么是selinux?  selinux ,内核加强型防火墙  SElinunx实现了一个更灵活的MAC形式,叫做类型强制(Ttpe Enforcement)和一个非强制的多层安全形式(Multi-Level)2.如何管理selinux级别?  selinux开启或者关闭 vim /etc/sysconfig/selinux selinux=Disabled #关闭状...
关闭 selinux
conglong8674的博客
08-29 237
一般安装linux课程时都把SELinux与iptables安排在后面,使初学者配置linux服务器时不成功,却没有头绪,那是因为在RedHat linux操作系统中默认开启了防火墙,SELinux也处于启动状态,一般状态为en...
SELinux的安装以及使用教程
最新发布
qq_61883924的博客
07-24 637
重启之后这个selinux服务都关闭了,所以无法通过setenforce切换模式和通过getenforce查看状况,但是可以修改/etc/selinux/config为permissive然后重启,重启电脑按ESC键,进入GRUB菜单,选择Ubuntu 按e进入编辑模式 在linux那一行末尾加上selinux=0禁用selinux,然后按ctrl+X重启进入系统。查看文件的SELinux上下文,可以使用。查看进程的SELinux上下文,可以使用。修改完之后保存,并且重启电脑。查看用户root的上下文。
SELinux配置与使用
Ada的专栏
08-07 630
SELINUX 有 disabled、permissive、enforcing 3 种模式选择。enforcing:强制模式,只要 selinux 不允许,就无法执行;permissive:警告模式,将该事件记录下来,依然允许执行;disabled:关闭 selinux停用,启用需要重启计算机。
selinux的设置和影响
一只胖橘猫的博客
11-07 1211
本章的内容围绕selinux来讲,前面也提到过做lftp试验时要注意selinux的状态,今天将会仔细讲解: selinux:内核级加强型防火墙 当处于enforcing时,selinux会给每一个文件加载一个标签,即context安全上下文。当文件允许被访问:程序的上下文和文件的上下文一致。 使用getenforce查看状态 setenforce 1 ##enforcing ...
SElinux解决方案
weixin_45629723的博客
11-14 482
selinux:内核级加强型防火墙 selinux( 安全增强型 Linux ) 是可以保护系统安全性的额外机制。 seliunx开关 更改selinux状态的配置文件 vim /etc/sysconfig/selinux 三种级别控制 SELINUX=enforcing ##强制级别 SELINUX=permissive ##警告级别 SELINUX=disabl...
Docker容器安全性解决方案.pdf
10-11
Docker 容器安全性解决方案 Docker 容器安全性解决方案是指为了确保 Docker 容器在应用中能够安全运行,避免可能出现的安全问题和风险,而采取的一系列安全机制和解决方案。该解决方案主要包括容器虚拟化安全、容器...
Android 5.X及以上系统SELinux权限问题解决方案
解决方案是在`kernel.te`规则文件中添加一条允许内核对`block_device`类的`blk_file`进行写入的规则,如`allow kernel block_device: blk_file write;`。 2. 第二个案例涉及到`platform_app`尝试执行`/data/data/...
se Linux ftp,linux cenos7 SELinux下vsftp解决方案
weixin_35414437的博客
05-07 354
使用到的语句:setsebool-Pftpd_connect_all_unreservedonsetsebool-Pftpd_connect_dbonsetsebool-Pftpd_full_accessonsestatus-b|grepftp这是在安装完vsftp,发现登陆后一片空白,无法上传下载及建目录时的操作。如果不执行上一步的操作,则需要对SELINUX配置做修改...
500 OOPS: cannot change directory
yehui186之中期回顾
08-28 354
500 OOPS: cannot change directory:/home/他的系统是CentOS,是RH派系的。 我把vsftpd安装配置好了,以为大功告成, 但客户端访问提示如下错误:500 OOPS: cannot change directory:/home/ftp 原因是他的CentOS系统安装了SELinux,因为默认下是没有开启FTP的支持,所以访问时都被阻止了。 //查...
解决ftp登录问题:500 OOPS: cannot change directory:/home/xxx 500 OOPS: child died
cxyrfg的博客
08-06 6940
问题描述:在使用 ftp 进行远程连接时,出现错误:500 OOPS: cannot change directory:/home/xxx 500 OOPS: child died 错误如图所示:   解决步骤如下: 1.检查/home/cong 的权限   若其权限不可访问不可读写,则将其权限设为:chmod 777 cong,再重新连接 2.若还出现错误,检查ftp的服务状态:   setstatus -b | grep ftp 由上图可知, 其ftp_home_dir的状态为of
vsftp 登录报错:500 OOPS: cannot change directory:/home/*******
伟大的忠忠的专栏
07-13 1138
我的系统:64位RHEL6 1、问题:vsftp登录报错”500 OOPS: cannot change directory:/home/*******” 解决:  A、首先检查权限问题;  B、 ftp服务器连接失败,错误提示: 500 OOPS: cannot change directory:/home/******* 500 OOPS: child d
linuxftp服务器登录显示500,linux FTP服务器提示“500 OOPS: cannot change directory”错误...
weixin_34327800的博客
08-09 2261
linux FTP服务器提示“500 OOPS: cannot change directory”错误CentOS上测试 FTP 双线服务器验证登录,提示“500 OOPS: cannot changedirectory:/home/xxx”,不能切换到用户宿主目录?一看到与宿主目录有关,第一反应就是会不会又跟 SELinux中的策略有关,因为之前测试 Samba实现“允许用户通过 Window...
500 OOPS: cannot change directory:/home/xxx
cc1969281777的博客
07-01 1492
redhat6.5连接 ftp服务器时提示: “500 OOPS: cannot change directory:/home/xxx” 有效解决方案是执行 #setseboolftp_home_diron
Linux中audit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
开启或关闭SELinux
weixin_66060122的博客
10-18 3580
解决nginx转发请求异常的解决办法failed (13: Permission denied) while connecting to upstream
查看 SELinux状态及关闭SELinux
weixin_34262482的博客
08-07 1506
查看SELinux状态: 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled 2、getenforce ##也可以用这个命令检查 关闭SELinux: 1、临时关闭(不用重启机器)...
Android O的Treble构建拆分与SELinux 1.0:挑战与解决方案
Treble Build Split的核心目标是解决过去系统升级时遇到的问题,特别是与SELinux(Security-Enhanced Linux)兼容性以及硬件接口管理(HIDL,Hardware Interface Definition Language)的挑战。 在Android O之前,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值