linux中的selinux管理

最新推荐文章于 2024-05-30 19:34:49 发布
最新推荐文章于 2024-05-30 19:34:49 发布
阅读量525 收藏 1
点赞数
分类专栏: linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41582883/article/details/109790108
版权

linux中的selinux管理

1 selinux的状态及管理

  • selinux的配置文件:/etc/sysconfig/selinux

  • selinux日志位置:/var/log/audit/audit.log

  • selinux的状态
    (1)selinux开启状态:enforcing 强制状态 ;permissive 被动状态
    (2)selinux关闭状态:disabled

  • 当selinux开启时,enforcing与permissive之间可以通过setenforce切换:

     切换到permissive被动状态:setenforce=0,不符合条件被允许,并会收到警告信息
 切换到enforcing强制状态:setenforce=1,不符合条件一定不能被允许,并会收到警告信息

  • selinux开启和关闭状态可以在配置文件中修改,但是更改配置文件和必须重启系统才能生效

2 selinux对程序和文件的影响

实验前的准备:

  • 开启vsftpd服务: systemctl start vsftpd
  • 在vsftpd中开启匿名访问和上传文件: /etc/vsftpd/vsftpd.conf

2.1 当Selinux未开启时

  • 在/mnt中建立文件,移动到/var/ftp下可以被vsftpd服务访问
  • 匿名用户可以通过设置后上传文件
  • 当使用ls -Z /var/ftp查看文件时显示"?"

在这里插入图片描述

在这里插入图片描述

2.2 selinux处于关闭状态

  • 关闭selinux,在配置文件中修改:/etc/selinux/config

在这里插入图片描述

  • 在配置文件中切换selinux开启和关闭状态时,必须重启系统reboot

在这里插入图片描述
1. selinux在强制状态时

  • 查看selinux的状态:getenforce

在这里插入图片描述

  • 新建文件/mnt/westos1,将该文件移动到目录:/var/ftp/pub
    westos1文件存在于目录/var/ftp/pub中,登陆ftp,进入pub目录后看不到westos1

在这里插入图片描述

  • 匿名用户不能上传文件

在这里插入图片描述

2. selinux在被动状态时

  • 切换selinux的状态为被动状态:setenforce 0
  • 查看selinux的状态:getenforce

在这里插入图片描述

  • 匿名用户上传文件生效:

在这里插入图片描述

  • 新建文件/mnt/westos2,将该文件移动到目录:/var/ftp/pub
    westos2文件存在于目录/var/ftp/pub中,登陆ftp,进入pub目录后看不到westos2,是因为westos2的安全上下文和/var/ftp中文件的安全上下文不一致

在这里插入图片描述
在这里插入图片描述

3 修改安全上下文

(1)临时修改安全上下文,此方式更改的安全上下文在selinux重启后会还原

	- chcon -t 	标签			文件|目录	
	- chcon -t 	public_content_t 	/var/ftp/westosfile1
	- chcon -Rt 	public_content_t	/westosdir	#修改目录及目录中的所有子文件的安全上下文

(2)永久修改安全上下文,如果需要特殊指定安全上下文需要修改内核安全上下文列表

	- semanage fcontext -l 		##查看内核安全上下文列表 
	- semanage fcontext -a -t public_content_t  '/var/ftp/dir1(/.*)?'  ## -a:添加  -t:类型 (/.*)?表示/var/ftp/dir1目录下的所有内容
	- restorecon -RvvF /var/ftp/dir1 ## 刷新,保存对永久上下文的更改,-R:递归处理目录, -v:将过程显示到屏幕上,-F:强制恢复文件安全语境
	- vim /etc/sysconfig/selinux ##将selinux关闭
	- touch  /.autorelabel		##重启系统时selinux初始化文件标签开关文件

(3)临时和永久修改安全上下文的对比修改

在这里插入图片描述

  • 更改selinux=disabled,重启系统后查看/mnt目录下file1和file2的安全上下文均为被改变
  • 再次更改selinux=enforing,重启系统后查看/mnt目录下file1的安全上下文被还原,而file2的安全上下文均未被改变

在这里插入图片描述

4 setboot

	给/var/ftp/pub 上下文添加写的权限:semanage fcontext -a -t public_content_rw_t /var/ftp/pub
	刷新:restorecon -R -v /var/ftp/pub 
	显示ftp服务的bool值: `getsebool -a |grep ftp`
	实现匿名用户可写,更改ftpd_anon_write的状态:`setsebool  -P ftpd_anon_write on`
	重启ftp服务:systemctl restart vsftpd.service

在这里插入图片描述

5 selinux对端口号的影响

当selinux=enforing,更改服务的端口号,如果更改后的端口号不是该服务允许的端口号,那么将无法重启服务

  • 查看apche服务的端口号:netstat -antlupe | grep http
  • 在配置文件中修改apche的端口号为6666:vim /etc/httpd/conf/httpd.conf
  • 切换selinux的状态为enforing:setenforce 1
  • 重启apche服务:systemctl restart httpd,将出现错误无法重启

在这里插入图片描述
解决方案

  • 默认使用的http端口号:semanage port -l |grep http
  • 为http添加类型为tcp端口号6666:semanage port -a -t http_cache_port_t -p tcp 6666
  • 重启服务:systemctl restart httpd

在这里插入图片描述

6 selinux排错

  • selinux警告信息:/var/log/audit/audit.log
  • selinux警告信息以及解决方案:/var/log/messages

在这里插入图片描述

  • setroubleshoot-server:此软件功能是采集警告信息并分析得到解决方案存放到message中

在这里插入图片描述

KKang@
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
selinux管理
su_use的博客
05-15 806
一、selinux简介 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。 selinux:内核级加强型防火墙   二、selinux状态控制   1、/et...
Selinux--linux系统内核及加强火墙的管理
weixin_42200500的博客
05-20 190
一.Selinux的功能 相当于对文件和应用程序多加一层保护 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文(context); 对于程序功能的影响:当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭,当需要此功能时需要手动开启功能开关,此开关叫做sebool 二.Selinux的状态及管理 vim /etc/selinux/config SELINUX=disabled se
SELinux 状态概述
chen的博客
05-30 390
SELinux,全称为Security Enhanced Linux,是一个基于Linux安全模块(LSM)的强制访问控制系统。它通过为系统的每个进程、文件和端口分配安全上下文(标签),并基于这些上下文实施访问控制,从而增强了Linux系统的安全性。
管理Linuxselinux
thermal_life的博客
02-23 418
######################### 1.selinux功能 ######################### selinux:内核级加强型火墙 当seliux关闭状态: 在/mnt/建立文件文件安全上下文为空文件被移动到ftp默认发布目录可以被访问 ftp程序安全上下文为空 且用户可以上传文件 当selinux开启后,重启系统,会发现多了以下三行内容 上下文出现,移动...
SELinux管理
ccc369639963的博客
01-18 297
SELinux管理 *********************************** 目 录 ************************************ SELinux是什么 SELinux的主要作用 SELinux 的工作模式(Disabled、Permissive和Enforcing) SELinux配置文件(/etc/selinux/config) SELinux工作模式设置(getenforce、setenforce和sestatus命令) SELinux安全上下文查看方法(超
Linuxselinux基础配置教程详解
09-15
Linux系统,Security-Enhanced LinuxSELinux)是一个重要的安全子系统,它通过强化内核来增强系统的安全性。本文将深入讲解如何在Linux环境配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **...
掌控Linux安全:SELinux策略管理全解析
最新发布
08-06
Linux内核是操作系统的核心部分,负责管理系统资源、调度进程、处理硬件设备请求等。Linux内核以其稳定性、安全性、灵活性和高性能而闻名。 Linux操作系统的特点包括: 1. **开源**:Linux的源代码对所有人开放,...
关闭selinux LinuxSELinux的开启、关闭
07-05
SELinux是内置在许多GNU / Linux 发⾏版的主要强制访问控制(MAC)机制。SELinux最初是由犹他州⼤学Flux团队和美国国防部开发的 Flux⾼级安全内核(FLASK) 。美国国家安全局加强了这⼀发展,并将其作为开源软件发布。...
selinux文手册和详细解说
11-15
**SELinux(Security-Enhanced Linux)** 是一种强制访问控制机制,由美国国家安全局(NSA)开发,用于提高Linux操作系统的安全性。它通过精细的权限管理,为系统的每个进程、文件和其他资源分配安全上下文,实现...
Android 的安全增强型 Linuxselinux
10-03
安全增强型 Linux (SELinux) 是 Android 系统一种重要的安全机制,它增强了操作系统的安全性,通过强制访问控制(MAC)对所有进程实施严格的权限管理SELinux 的核心目标是防止恶意软件和未授权访问,即使对于...
Linux进阶(11)--SELinux管理
小王的笔记仓库
04-03 1660
一.什么是SELinux 1.访问控制分类 DAC(Discretionary Access Control,自主访问控制) 依据进程的所有者与文件资源的rwx权限来决定有无访问权限。 缺点: 1.如果某个进程以root身份运行,可能被恶意目的 2.用户可以取得进程来获得文件的访问权限 DAC针对控制的主体是用户 MAC(Mandatory Access Control),强制访问控制 依据策略规则决定进程可以访问哪些文件。 优点: 即使是root用户,在使用不同进程时,所能取得的权限并不一定是root,需
管理SELinux安全性
w1195691727的博客
08-05 124
3.chcon命令更改SELinux 上下文。此外,如果对整个文件系统进行重新标记,则使用chcon更改过的文件的SELinux上下文将恢复。2.为文件设置SELinux上下文的首选方法是使用semanage fcontext 命令来声明文件的默认标签然后使用restorecon命令将该上下文应用于文件。1.使用semanage fcontext 命令,管理决定了文件和目录默认上下文的SELinux策略规则。2.使用restorecon 命令,将SELinux策略所定义的上下文应用到文件和目录。
Linuxselinux的初级管理
qq_36016375的博客
04-22 7058
selinux的初级管理 1.什么是selinux selinux,内核级加强型防火墙 (对文件影响,安全上下文)对文件和服务进行标签,程序标签和文件标签不一致(看不了文件) (对服务影响) 把服务不安全的功能去掉,对程序功能进行限制,在内核上限制掉(删除不了了) selinux有disabled、permissive、enforcing三种级别 2.如何管理selinux级别 vim /etc/...
selinux管理
sumin1118的博客
04-27 282
一,显示及更改selinux模式    1.selinux两种模式:        *getenforce        *setenforce  0                            ##表示permissive,警告(同意并警告)                             1                             ##表示enfo
Linux系统下的selinux管理
j_1282937574的博客
08-12 204
##1.内核级防火墙 selinux##  1.三种级别    1 (Enforcing)强制:警告,并拒绝访问    0 (Permissive)警告:不被拒绝,但会产生警告日志    (Disabled)关闭:不被拒绝,可正常访问  2.安全标签:安全上下文    当selinux插件处于关闭状态,vsftp服务无安全标签    当selinux插件处于强制/警告状态,重启时给所...
seLinux管理
bittersweet0324的博客
04-11 888
一、基本 SELINUX 安全性概念   1.SELINUX( 安全增强型 Linux) 是可保护你系统安全性的额外机制 2.在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式 , 以用户身份运行进程 ,并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 , 你必须
SELINUX状态
m0_70070438的博客
06-12 446
内核级的加强形火墙,内核上的插件,改变后要重启,是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。作用:最大限度地减少系统服务进度可访问的资源enforcing:强制模式,违法规则的行为将被阻止并记录到日志;执行permissive:宽容模式:违法规则的行为只会记录到日志,不执行但产生警告disabled:关闭查询SELinux当前policy详细信息:sestatus临时关闭SELinux: setenforce 0 关闭重启都会失效临时打开SELinux:
查看SELinux状态&关闭SELinux
weixin_30399055的博客
08-02 559
1. 查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [root@l...
SELinux管理与配置指南
与传统的自主访问控制(DAC)不同,SELinux提供了更为精细的权限管理,能够针对系统的进程、文件、目录、网络连接等进行细致的权限设定。 在SELinux,每个进程都有一个安全上下文(security context),这个上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值