selinux详解及相关配置

最新推荐文章于 2024-06-07 19:07:24 发布
最新推荐文章于 2024-06-07 19:07:24 发布
阅读量710 收藏 1
点赞数
文章标签: selinux 相关配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36417677/article/details/103073204
版权

1.什么是selinux

selinux是一种控制服务安全,是内核上面的一个插件,也叫做内核加强型火墙
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统
NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统
对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的
SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念`

selinux是内核上的插件,改完之后一定要重启才起作用
selinux对服务访问文件以及功能的影响
enforceing与permissive二者可以直接进行切换,但是二者与disable(关闭selinux)进行切换时要reboot

enforceing表示强制
permissive表示警告
disable表示关闭

2.selinux对文件的影响

selinux给每个文件加标签 标签匹配才能被访问,每个程序安全上下文要匹配(例如:在/var/ftp/下看mv过去的能不能看到)

selinux对功能的影响:
在每个不安全的功能上面加功能开关(默认关闭),安全性提高,0关闭,1开启(在/var/ftp/pub/能不能上传文件)

eg:当selinux状态为disable时,
在这里插入图片描述
当selinux状态为enforcing时,westosfile1并没有在lftp 服务中看到
在这里插入图片描述
原因:westosfile1的安全上下文与lftp的安全上下文不匹配,lftp只能访问到与之标签相匹配的文件

ls -Z /var/ftp #-Z查看安全上下文
在这里插入图片描述
显示进程的selinux的安全上下文:
ps axZ | grep vsftpd ##-Z参数可以查询进程的安全上下文
在这里插入图片描述

3.selinux状态的设置

enforceing表示强制
permissive表示警告
disable表示关闭

强制和警告表示selinux服务开启
disable表示selinux服务关闭

getenforce查看selinux服务的状态
setenforce 0将selinux设置为警告模式,前提selinux开启
setenforce 1将selinux设置为强制模式,前提selinux开启
vim/etc/sysconfig/selinux修改SELINUX=disable

注意:当selinux关闭到开启,或者开启到关闭都要重启才能生效

sebool的设定

getsebool -a | grep  ftp  #查看ftp相关功能的开启状态

在这里插入图片描述

setsebool -P ftp_home_dir   on|1    #开启本地上传服务设置

测试
在这里插入图片描述
在开启安装上下文状态下,开启匿名用户 上传服务

getsebool -a  | grep  ftp  # 查看ftp相关功能的开启状态
setsebool -P ftpd_anon_write on  #开启匿名用户上传功能
lz -Zd  /var/ftp/pub  #查看该目录的安全上下文
semange  fcontext -a -t public_content_rw_t  "/var/ftp/pub(/.*)?"   #修改/var/ftp/pub目录的安全上下文
restorecon -RvvF /var/ftp/pub/   #刷新该目录上下文

在这里插入图片描述
在这里插入图片描述测试
在这里插入图片描述修改文件的安全上下文

#临时修改
chcon -t public_content_t westosfile1   #public_content_t 为安全上下文,  westosfile1为文件名

在这里插入图片描述
现在westosfile1就可以传过来了

在这里插入图片描述永久修改文件的安全上下文

semanage  fcontext  -l   #查看文件的安全上下文
semanage  fcontext -a  -t  public_content_t    "/westos(/.*)?"  #更改/westos目录本身以及该目录下的所有文件的安全上下文为public_content_t
restorecon  -RvvF /westos   #同步安全上下文到该目录本身,不会因重启而改变
ls  -Zd  /westos   查看该目录安全上下文

在这里插入图片描述
selinux 的排错

/var/log/messages 为系统日志,提供一些解决方案 ,需要安装服务才能提供解决方案 
/var/audit/audit.log 为selinux真正的日志,不提供解决方案 
yum search selinux 
yum install setroubleshoot-server.x86_64 -y

>/var/log/messages
>/var/log/audit/audit.log   #清空日志

实验:

cd /mnt/
touch /mnt/file
mv /mnt/sfile   /var/ftp/

在这里插入图片描述

lftp 172.25.254.100
ls 查看并没有mv过来的东西

在这里插入图片描述

cat /var/log/messages #可以看到日志提供的解决办法 然后就能看到mv过去的了
 restorecon -v /var/ftp/file #刷新 
 ls -Z /var/ftp/      #查看标签是否一致(只有标签一致的时候才能看见mv过去的东西) 
 再次 lftp 172.25.254.111    #ls查看就可以看到mv进去的东西了

在这里插入图片描述在这里插入图片描述

皮皮彭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SeLinux详解
m0_37571604的博客
07-23 569
SELinux的全称是:安全加强的Linux (Security-EnhancedLinux)。Android通过SELinux对所有的进程、甚至是拥有root/superuser特权的进程加强访问约束。通过SELinux,Android可以更好地保护和限制系统服务对应用数据和系统日志的访问,从而减少恶意软件的影响。SELinux遵循默认拒绝的原则:任何没有被策略文件允许的操作都是被拒绝的。如果某个进程想访问指定的文件需要在策略文件中明确地指出。
SELinux整理笔记
liguangxianbin的博客
05-25 5235
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
Linux系统:selinux规则配置详解
十七拾的博客
03-07 3527
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
Selinux配置
云梦归遥【qq_45834685】
11-03 2014
Selinux配置 selinux对于Linux系统可谓是十分重要。它的主要作用是对非超级用户和普通用户进行控制,而是对系统用户进行控制,尤其是一些服务,安装之后会默认创建一些系统用户,为了避免外部人员通过服务访问Linux系统的时候进入系统,访问到其他内容,以及限制服务的作用范围。 但是也可以对端口等作出操作,比如说修改一些著名的服务,比如说httpd的默认访问端口80为10000,避免外部恶意用户进行恶意访问等。 selinux状态: enforcing: 使用selinux强制保护系统 perm
SElinux配置
在路上的学习者
01-11 574
系统版本:centos 6.5 mini查看selinux状态查看selinux的详细状态,如果为enable则表示为开启$ /usr/sbin/sestatus -v查看selinux的模式$ getenforce关闭selinux永久性关闭(这样需要重启服务器后生效)$ sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/con
Linux CentOS 8(SELinux配置与管理)
正月十六工作室
10-31 1186
SELinux是安全增强型Linux系统,是一个Linux内核模块,也是Linux的一个安全子系统。开启后,会关闭系统中不安全的功能。主要作用是最大限度地减小系统中服务进程可访问的资源。
SELinux详解.pdf
11-22
SELinux(Security-Enhanced Linux)是一种安全模块,最初由美国国家安全局(NSA)...随着本书《SELinux详解》的指引,读者能够学习如何编写和管理SELinux安全策略,从而确保他们的Linux应用程序、系统和网络的安全性。
Android的SELinux详解
achirandliu的专栏
06-07 914
Android的SELinux详解
SElinux详解.pdf
03-14
### SELinux详解 #### SELinux概述 SELinux(Security-Enhanced Linux)是一种为Linux内核提供的强制访问控制(MAC)安全扩展。本节将详细解释SELinux的基础知识及其架构。 - **背景**:操作系统访问控制的历史和...
Selinux配置详解.pdf
12-28
Selinux的基本配置SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。
SELinux System - 2nd Edition + SELinux 详解 SEAndroid基础
01-23
通过阅读《SELinux System Administration -- 2nd Edition》和《SELinux详解》,读者将能够熟练地管理和维护一个配置良好的SELinux环境,提升系统和应用的安全性。这些书籍将帮助读者成为系统安全领域的专家,有效地...
Linux中selinux基础配置教程详解
09-15
本文将深入讲解如何在Linux环境中配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **Enforcing**:强制模式。在该模式下,SELinux会严格限制不同安全域(domain)和类型(type)之间的交互,任何不符合策略...
linux中seliunux配置文件,SELinux 入门简介
weixin_39835991的博客
05-13 244
几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。SELinux 与强制访问控制系统SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 M...
linux基础配置脚本,Linux中selinux基础配置教程详解
weixin_35749545的博客
05-03 213
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。三种模式:Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。permissive: 警告模式,在selinux运作时,会有警告讯息,但不会限制domain/type的存取。disabled: 关闭模式。可用geten...
6.6.4、SELinux 配置文件:/etc/selinux/config
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 474
SELinux 是预先配置的,可以在不进行任何手动配置的情况下使用 SELinux 功能。然而,一般预先配置SELinux 设置很难满足所有的 Linux 系统安全需求。
SELinux配置文件简单说明
weixin_34195142的博客
03-19 188
SELinux配置文件(/etc/selinux/config) SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子: 清单13-1./etc/selinux/config文件的内容 1 #...
selinux详解配置文件
weixin_30566063的博客
03-28 362
selinux详解 selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ; 如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。 DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,grou...
全球与中国锂电池专用高性能胶带市场现状及未来发展趋势(2024版).docx
最新发布
08-29
全球与中国锂电池专用高性能胶带市场现状及未来发展趋势(2024版).docx
SELinux配置与策略管理详解
本章节详细介绍了SELinux(Security-Enhanced Linux)的配置和策略管理,特别关注了系统中的关键配置文件——/etc/selinux/config。SELinux是一种在Linux系统中实现强制访问控制(MAC)的模块,旨在提升系统的安全性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值