安全增强机制--Selinux

最新推荐文章于 2024-05-22 20:33:04 发布
最新推荐文章于 2024-05-22 20:33:04 发布
阅读量562 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/noflag/article/details/90050700
版权

1.基本 SELINUX 安全性概念

SELINUX(Security Enhanced Linux),意思是安全增强型Linux, 是可保护你系统安全性的额外机制

在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 (若要访问文件 ,你必须具有普通访问权限和 SELinux 访问权限。因此 , 即使以超级用户身份root 运行进程 , 根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源) 标签

2.SElinux安全上下文访问规则

web服务器的http进程设置了SElinux上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是第三个用冒号分隔的字段,SElinux类型:httpd_t
系统上的文件和资源也设置了 SElinux上下文标签 , 并且重要的部分是 SElinux类型。例如 ,/var/www/html 中的文件具有类型 httpd_sys_content_t 。 /tmp 和 /var/tmp 中的文件通常具有类型 tmp_t
Selinux 策略具有允许以 httpd_t 身份运行的进程访问标记为httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即使常规文件权限指出应该允许这些访问

3.SElinux模式

Disabled不警告不拒绝/关闭状态
Enforcing强制模式,如果不符合会拒绝访问
Permissive警告模式,不符合会警告但是可以访问

锁定管理selinux状态

更改 selinux的开机状态

在配置文件vim /etc/sysconfig/selinux中修改:

修改后必须重启reboot,否则不生效

查看selinux状态

更改SELINUX 模式

简单更改,只能在enforcing和permissive两种状态之间切换

更改安全上下文

临时更改安全上下文:

chcon -t public_content_t file文件名

更改前

更改后

改目录以及目录下所有文件的改安全上下文

chcon -t public_content_t /ftpdir/ -R

永久性修改安全上下文:

通过命令semanage fcontext -l | grep /var/ftp可以查看目录以及目录中文件的安全上下文

更改安全上下文

semanage fcontext -a -t public_content_t '/ftpdir(/ . *)?'

执行命令restorecon -FvvR /ftpdir让他生效

通过lftp也可以访问到

管理SElinux的布尔值:

  • SELinux 布尔值是更改 SELinux 策略行为的开关, 是可以启用或禁用的规则
  • 安全管理员可以使 SELinux 布尔值来调整策略 , 以有选择地进行调整
  • getsebool 用于显示布尔值 , setsebool 用于修改布尔值
  • setsebool -P 修改 SELinux 策略 , 以永久保留修改

例:匿名用户上传和下载

首先修改配置文件/etc/vsftpd/vsftpd.conf,开启上传和下载服务,重启vsftpd服务:

修改默认发布目录权限,组:

开启服务对应的bool值:

设置布尔值1开启,0关闭)也可以用on和off控制

更改默认发布目录的安全上下文,增加读写权限:

测试:在selinux为enforcing的状态下匿名用户可以很顺利的上传和下载文件

例:本地用户上传和下载

首先,在vsftpd配置文件中开启相应的服务,并重启vsftpd服务

修改ftp相应服务的bool值:

测试:可以看到,本地用户student可上传可删除可下载可建目录

监控 SELinux 冲突

  • 必须安装 setroubleshoot-server 软件包 , 才能将 SELinux消息发送至 /var/log/messages
  • setroubleshoot-server 侦听 /var/log/audit/audit.log 中的审核信息并将简短摘要发送至 /var/log/messages
  • 摘要包括 SELinux 冲突的唯一标识符 ( UUIDs ), 可用于收集更多信息
  • Sealert -l UUID 用于生成特定事件的报告。Sealert-a/var/log/audit/audit.log 用于在该文件中生成所有事件的报告
  • 当setroubleshoot-server 软件包存在时,客户端如果访问失败,cat /var/log/messages日志中会有解决方案
  • 如果卸载setroubleshoot-server 软件包  日志中没有解决方案
/var/log/audit/audit.logselinux日志存放位置
/var/log/messagesselinux解决方案

安装软件:

yum install setroubleshoot-server.x86_64

清空日志:

> /var/log/audit/audit.log

>/var/log/messages

查看ftp://172.25.254.205  发现看不到westos

cat /var/log/audit/audit.log  查看问题出在哪里

cat /var/log/messages         查看解决方案

检测:

noflag
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux安全防护
S_XYY的博客
05-21 488
1.SELinux安全防护 问题 本案例要求熟悉SELinux防护机制的开关及策略配置,完成以下任务: 1)将Linux服务器的SELinux设为enforcing强制模式 2)在SELinux启用状态下,调整策略打开vsftpd服务的匿名上传访问 3)从/root目录下移动一个包文件到FTP下载目录,调整策略使其能够被下载 步骤 实现此案例需要按照如下步骤进行。 步骤一:将Linux服务器的...
SELinux详解-中文版.pdf
10-18
第二章“概念”则通过教程方式阐述了SELinux的核心安全机制,使读者对SELinux安全增强功能有直观的理解。第三章“架构”则详细分析了SELinux的内部结构,包括策略语言的使用。 第二部分“SELinux策略语言”是书中...
SELinux安全机制
FatPuffer
12-26 2051
(一)概述 (1)Security-Enhanced Linux 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 集成到Linux内核(2.6及以上)中运行 RHEL7基于SELinux体系针对用户、进程、目录和文件提供了预设的保护策略,以及管理工具。 (二)SELinux运行模式 (1)强制模式:enforcing (2)宽松模式:permissive (3)彻底禁用:disabled,切换到该模式,必须重启 (三)SELinux操做命令 (1)查看 getenforce
SELINUX=enforcing时无法启动httpd服务的解决方案(semanage命令以及setroubleshoot-server插件的妙用)
最新发布
qq_42750608的博客
05-22 829
SELINUX=enforcing时无法启动httpd服务的解决方案(semanage命令以及setroubleshoot-server插件的妙用)
安全增强型Linux:selinux
滴水穿石浅谈
02-15 218
######基本SELINUX安全性概念###### selinux是可保护Linux系统安全性的额外机制 在某种程度上,可以被看作是与标准权限系统并行的权限系统。 在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限, 控制哪些用户对哪些文件具有哪些访问权。 selinux的另一个不同之处在于,若要访问文件,必须具有普通访问权限和selinux访问权限。 因此,即使以超级用...
Linux Selinux机制
四儿家的小祖宗的博客
03-22 672
主要介绍linux selinux机制,另举例解释如何添加selinux规则
selinux 安全性_使用SELinux保持系统安全
cumo3681的博客
06-11 409
selinux 安全性 Linux世界中很少有什么事情能引起强烈反响,例如SELinux ( Linux的安全增强)。 Susan Lauber希望在LinuxCon上减轻这种React并向人们展示光芒。 在她关于SELinux的演讲中,Lauber将讲解所有标签 ,并讲授SELinux基础知识,并描述为什么它必须在您的系统上运行。 在这次采访中,她告诉了我们更多。 您是如何参与提供...
selinux-master
01-09
"selinux-master"这个压缩包可能包含了一个完整的SELinux学习或开发资源集合。 SELinux的核心理念是通过策略规则来限制系统中的进程可以访问哪些资源,而不仅仅是依赖于用户权限。它将每个进程、文件和其他对象分配...
程序管理与SELinux-16th1
08-04
在Linux系统中,程序管理与安全增强型Linux(SELinux)密切相关。SELinux是一种强制访问控制(MAC)机制,用于增强Linux的安全性。它通过定义域(domain)和类型(type)来精细控制进程对系统资源的访问。每个进程都...
操作系统安全selinux简介.pptx
06-01
**SELinux(Security Enhanced Linux)**是由美国国家安全局(NSA)开发的一种强制访问控制(Mandatory Access Control,MAC)机制,旨在增强Linux操作系统的安全性。传统的Linux安全模型基于自主式访问控制...
selinux实现为linux安全模块报告
12-28
它提供了一个框架,使得开发者可以轻松地添加新的安全机制,如SELinux,而无需修改核心内核代码。 2. **SELinux基础概念** - **上下文(Context)**: 每个Linux对象(如文件、进程、网络套接字等)都有一个SELinux...
SELinux实例:使用安全增强的Linux
cnbird's blog
06-06 1848
http://www.51cto.com/art/200810/94193.htm
LINUX系统之SELINUX安全增强型linux
ly2020_的博客
05-06 875
1 基本SELINUX安全性概念 1.1 SELINUX概念:  SELINUX安全增强型linux)是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源中都设置了权限(控制哪些用户对哪些文件具有哪些访问权限)标签。SELINUX的另一个不同之处在于,若要访问文件,你必须具有普通访问权限和SELINU...
SELinux 安全机制实践应用
肖岩
10-09 535
当你有所得,最好是用文字总结记录,这才是进步的关键!! --------20191009 一、先了解一下SELinux安全机制 DAC和MAC SELinux出现之前,Linux上的安全模型叫DAC,全称是Discre...
selinux实例:使用安全增强的linux,13.1.1.SELinux配置文件(/etc/selinux/config)
weixin_31099291的博客
05-14 233
13.1.1.SELinux配置文件(/etc/selinux/config)SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子:清单13-1./etc/selinux/config文件的内容1 # This file...
Linux安全增强技术,selinux 安全增强式Linux
weixin_34613462的博客
05-18 190
1. 上下文(以 apache 为例)1)服务器端安装 httpd[root@server ~]# yum -y install httpd[root@server ~]# systemctl start httpd[root@server ~]# systemctl enable httpd2)查看 httpd 默认目录的上下文[root@server ~]# ls -ldZ /var/www/...
Linux安全机制Selinux
陈子陌的博客
11-20 4096
一、引言 1.1、什么是Selinux Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。 本文下面讲的类似内容,有安卓源码的小伙伴可以到类似目录(android/device/softwinne
SElinux安全增强linux详解
上善若水 的专栏
11-10 2301
<br />一:SElinux安全增强linux简介)                 <br />1:使用SElinux可以将进程放入在特定的SElinux域,同时赋予系统上的资源(如文件,网络套接字,系统调用等)SElinux上下文。装入SElinux的策略(通常作为系统启动过程的一部分),然后决定哪个进程域可以访问哪些资源上下文。<br />2:在红帽企业版linux 5中,有关SElinux的选择有下面几种:<br />(1)       我是否需要启用SElinux<br />(2)      
selinux安全机制
03-26
SELinux的作用是通过强制访问控制来增强系统的安全性。它通过对程序、文件等细节权限进行设置,限制了进程的访问权限,从而减少了系统受到攻击的风险。SELinux使用了一种基于策略的访问控制模型,可以对系统中的各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值