Linux运维--SElinux详解

最新推荐文章于 2024-03-25 01:20:04 发布
最新推荐文章于 2024-03-25 01:20:04 发布
阅读量500 收藏 4
点赞数 4
分类专栏: 运维 文章标签: linux 运维 selinux 安全部署
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35887546/article/details/103058693
版权

一、SElinux

1 SElinux

安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统

SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)

2 SElinux对系统的影响

SELinux插件开启时会为系统中开启的每一个程序和每一个文件加载一个标签,特定标签的程序只能读取或者操作特定标签的文件,如果标签不配套,该访问就会被禁止,这种在文件上的标签被称为 安全上下文,在程序上的标签为sebool值

二、selinux的开启及模式调整

改变selinux状态:

 vim /etc/sysconfig/selinux

在这里插入图片描述

参数含义
SELINUX=enforcingselinux开启,级别为强制
SELINUX=permissiveselinux开启,级别为警告
SELINUX=disableselinux关闭

其中强制模式表示警告加拒绝,警告模式只有警告

 setenforce 0|1		##更改selinux当前的级别0警告1强制
 getenforce			##查看selinux的状态

注意:当selinux从关到开,或值从开到关,需要重启系统

三、sebool的设定

selinux的bool值的查看:

getsebool -a | grep ftp

在这里插入图片描述
设定sebool值:

setsebool -P ftp_home_dir on

在这里插入图片描述

查看目录安全上下文:

 ls -Zd /var/ftp/pub/

在这里插入图片描述
更改目录安全上下文:

 semanage fcontext -a -t public_content_rw_t "/var/ftp/pub(/.*)?"		#更改安全上下文
 
 restorecon -RvvF /var/ftp/pub/ 		#刷新

在这里插入图片描述

四、修改文件上下文

1 临时修改文件上下文

/mnt目录中新建文件testfile并移动到ftp发布目录/var/ftp中,使用命令ls -Z查看文件的上下文如下:
在这里插入图片描述
登陆ftp查看文件:
在这里插入图片描述
可以用以下命令来修改文件上下文:

 chcon -t public_content_t testfile				#public_content_t为新的文件上下文

在这里插入图片描述
再次登陆ftp发现可以看到文件testfile
在这里插入图片描述
2 永久更改文件上下文

使用chcon命令更改目录上下文后重启selinux,更改将会还原,要使更改永久生效,需要将目录增加到selinux安全列表中,可以使用以下命令查看selinux安全列表:

 semanage fcontext -l
 semanage fcontext -l | grep ftp		#筛选出与ftp有关的信息

使用以下命令永久更改文件上下文:

 semanage fcontext -a -t public_content_t '/westos(/.*)?'		#将文件或目录添加到selinux安全列表中
 restorecon -RvvF /westos/		#刷新

五、SElinux的排错

在系统中负责记录SElinux错误信息的服务为 setroubshoot-server,并会在/var/log/messages中提供解决方案

示例:
/var/ftp/目录下有ftp不能访问的文件时,错误信息会被记录在/var/log/audit/audit.log
在这里插入图片描述
/var/log/messages中提供解决方案:
在这里插入图片描述
在这里插入图片描述
setroubshoot-server被卸载时,错误信息将不会被记录,并且不会有解决方案

CL82
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux之sed详解
Yort
11-03 349
文本处理三剑客:   grep, egrep, fgrep:文本过滤器   sed:Stream EDitor,流编辑器,行   awk:文本格式化工具,报告生成器sed 是一种在线编辑器,它一次处理一行内容。处理时,把当前处理的行存储在临时缓冲区中,称为“模式空间” (pattern space),接着用sed命令处理缓冲区中的内容,处理完成后,把缓冲区的内容送往屏幕。接着处理下一行,这样不断重
Linux---详说selinux
qq_43063355的博客
02-29 276
一、selinux的状态 1、查看selinux状态:getenforce 三种类型: disabled 关闭 enforcing 强制(1) permissive 警告(0) 2、设置selinux状态:setenforce 0/1 3、配置selinux状态的文件:/etc/sysconfig/selinux SELINUX=selinux状态 reboot 重启系统 ...
SELinux LOG分析及添加权限
w2064004678的博客
04-16 1670
adb修改selinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前selinux状态 setenforce 1; //打开selinux setenforce 0; //关闭selinux 从kernel中彻底关闭 修改/linux/android/kernel/arch/arm64/configs/xxx_...
SeLinux 的avc log解读
心上枫叶红的博客
01-25 2902
avc log分析: SeLinux的AVC log的详细分析 eg: type=AVC msg=audit(1395177286.929:1638): avc: denied { read } for pid=6591 comm="httpd" name="webpages" dev="0:37" ino=2112 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=dir 整体翻译:SE
SELinux安全策略简介及log分析
JanChiang97的博客
11-15 273
偷个懒,转到本人博客 简安97 blog SELinux安全策略简介及log分析
linux 进程状态日志,Linux SELinux 工作原理及日志管理详解
weixin_36354965的博客
04-29 684
SELinux(Security Enhanced Linux)系统资源都是通过进程来读取更改的,为了保证系统资源的安全,传统的Linux使用用户、文件权限的概念来限制资源的访问,通过对比进程的发起用户和文件权限以此来保证系统资源的安全,这是一种自由访问控制方式(DAC);但是随着系统资源安全性要求提高,出现了在Linux下的一种安全强化机制(SELinux),该机制为进程和文件加入了除权限之外更...
系统交付运维日常工作笔记整理-bak221010
10-18
本文档是系统交付运维日常工作笔记的整理,涵盖了Linux系统环境配置、docker安装、kafka相关操作、mariadb安装及初始化、ES安装等多个方面的知识点。 Linux系统环境配置 1. 配置网络环境(centos):在 Ubuntu 中...
nginx selinux support-开源
04-24
**Nginx与SELinux支持详解** 在Linux服务器安全领域,SELinux(Security-Enhanced Linux)是一项重要的安全模块,它提供了强制访问控制(Mandatory Access Control, MAC),以增强系统的安全性。Nginx作为一款广泛...
SELinux详解-中文版.pdf
10-18
讲解selinux的作用,生效机制,并详细介绍了如何编写selinux策略模块 中文版
kubernetes-node-linux-amd64.tar.gz
03-27
《Kubernetes Node在Linux AMD64平台上的安装详解》 Kubernetes,简称K8s,是目前最流行的容器编排系统,它为大规模容器化应用提供了自动化部署、扩展和管理的解决方案。在这个“kubernetes-node-linux-amd64.tar....
Linux文件服务器实战详解(匿名用户)
09-15
Linux环境中,文件服务器的搭建和管理是IT运维中的重要环节,尤其对于需要共享文件或进行远程文件传输的场景。本文将深入探讨如何在Linux上配置和管理文件服务器,特别是针对匿名用户的设置,以FTP(File Transfer...
LinuxSELinux的介绍以及用法
热门推荐
xu710263124的博客
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
SELinux auditd日志系统
haohaoxuexiyai的博客
02-21 1703
目录SELinux auditd日志系统的安装与启动SELinux auditd日志使用方法audit2why命令audit2allow命令sealert命令 SELinux auditd日志系统的安装与启动 当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息
Android10.0 日志系统分析(四)-selinux、kernel日志在logd中的实现​-[Android取经之路]
IngresGe 的专栏
02-12 8597
摘要:本节主要来讲解Android10.0 selinux、kernel日志在logd中的实现,包括LogAudit、LogKlog的源码分析 阅读本文大约需要花费15分钟。 文章首发微信公众号:大猫玩程序 专注于Android系统级源码分析,Android的平台设计,欢迎关注我,谢谢! [Android取经之路的源码都基于Android-Q(10.0) 进行分析] 系列文章: [...
Linux系统入门之selinux
vanvan_的博客
05-07 459
基本SELINUX安全性概念 (1)SELinux概念 SELINUX安全增强型Linux)是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。 在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权 SELINUX的另一个不同之处在于,若要访问文件,你必须具有普通访问权限和SELINUX访问权限。因...
SELinux详解
最新发布
不知道
03-25 8060
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
Linux运维--DNS详解
qq_35887546的博客
11-28 1467
一、高速缓存DNS 1 DNS Domain Name System,域名系统。 万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网。他主要负责把域名和IP的相互转换,DNS运行与TCP|UDP的53端口上。 2 DNS分类 (1)权威名称服务器(权威dns:直接有客户需要的答案,客户给一个域名,直接能访问到答案) 存储并提供某区域(整个DNS域或DNS域的一部分)...
2018年全国职业院校技能大赛-云计算技术与应用赛卷详解
这要求考生熟悉Linux系统的操作,例如使用hostname命令查看主机名,firewall-cmd或iptables命令管理防火墙,以及setenforce和sestatus命令查看和调整SELinux状态。此外,考生还需通过ssh重新连接服务器,以确保配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值