SELINUX

最新推荐文章于 2024-07-23 09:56:29 发布
最新推荐文章于 2024-07-23 09:56:29 发布
阅读量632 收藏 9
点赞数 1
分类专栏: linux 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43008530/article/details/103055956
版权

1. 了解selinux

(1)什么是selinux

Selinux,内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。

(2)selinux的三个模式

Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELinux 策略规则授予或拒绝主体对目标的访问
Permissive 宽容(警告模式)— SELinux 策略不强制执行,不实际拒绝访问,但会有拒绝信息写入日志
Disabled 禁用(关闭模式)— 完全禁用SELinux

2. selinux的开启及模式调整

编辑selinux的配置文件:

vim /etc/sysconfig/selinux

在这里插入图片描述

注意:设置后必须要重启才能生效。

调整模式

##警告模式
setenforce 0
##强制模式
setenforce 1
##状态查看
getenforce

在这里插入图片描述

注意:不能通过模式调整将从开启状态(警告模式或者强制模式)调整到关闭状态,要调整必须通过配置文件来修改。

3.修改文件安全上下文

(1)查看文件和目录的安全上下文

注意:以下实验是在selinux开启的情况下(enforcing)操作的。

#查看安全上下文
ls -Z	# 文件
ls -Zd	# 目录

在这里插入图片描述

注意:selinux要开启。

(2)修改安全上下文

#临时修改文件的安全上下文
chcon -t 安全上下文  文件

在这里插入图片描述

#列出内核安全上下文列表内容
semanage fcontext -l
#将目录本身及里面文件的加载到安全上下文里面
semanage fcontext -a -t public_content_t '/westos(/.*)?'
注意:真实的目录的安全上下文并没有变。(ls -Zd /westos)
要想改变目录及里面文件的安全上下文:
(1)reboot
(2)restorecon -FvvR /westos

在这里插入图片描述

4. selinux的bool值的设定

##查看文件的bool值
getsebool -a | grep 服务名称
##开启或者关闭
setsebool -P 功能bool值 on|off

(1)系统用户上传文件

上传的功能是关闭的,所以不能上传。
在这里插入图片描述
开启功能:
在这里插入图片描述

在这里插入图片描述

(2)匿名用户上传文件

###登录lftp
lftp 172.25.254.120
	#上传文件
	put /etc/group   (会报错)
#查看bool值
getsebool -a | grep ftp
	ftpd_anon_write=off	(功能是关闭的)
##开启功能
stsebool -P  ftpd_anon_write on
注意:但是还是不能上传,原因是目录没有可写的权限
##设置安全上下文,使目录的可写权限
semanage fcontext -a -t public_content_rw_t "/var/ftp/pub(/.*)?"
##刷新
restorecon -FvvR /var/ftp/pub

在这里插入图片描述

5.selinux 系统排错

#查看selinux的报错日志
/var/log/audit/audit.log
#提供selinux的解决方法的日志
/var/log/messages

提供系统selinux排错的软件为:setroubleshoot-server,如果删除该软件,在messages中将不会提供解决方法。

在这里插入图片描述

在/var/log/messages 中寻求解决方法:

在这里插入图片描述
在这里插入图片描述

执行找到的帮助:

在这里插入图片描述

fc_1015775395
关注
专栏目录
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
CentOS 修改selinux状态
weixin_34220623的博客
11-29 2010
Linux在安装好之后通常SELinux都是出于默认开启的状态,开启的情况下会导致一些服务的安装不成功。 在不需要的情况下完全可以关闭掉,下面是在centos 7.0里面如何查看,关闭selinuxselinux 状态分为三种 : enforcing (执行中)、permissive (不执行但产生警告)、disabled(关闭) 查看selinux目前状态: geten...
Selinux 错误解决合辑(持续更新~)
知识空间
11-20 2802
Access denied finding property “hwservicemanager.ready” Log中报如下错误: E libc : Access denied finding property “hwservicemanager.ready” 则需要加入如下权限: allow xxx hwservicemanager_prop:file { read open getattr map}; Access denied finding property “persist.vendor.
selinux】Linux的信息安全模块 - selinux
最新发布
qq_38089448的博客
07-23 683
selinux全称(Security-Enhanced Linux)安全增强型Linux,它是一个Linux内核模块,也是Linux的一个安全子系统。
SELinux问题进行故障排除
m0_75204988的博客
01-16 694
SELinux阻止访问服务器上的文件时(本应该可以访问的),了解必须采取哪些操作至关重要。请将以下步骤作为解决这些问题的指南: 在考虑做任何调整之前,应了解到SELinux禁止意图访问的这一做法也许非常正确。放web服务器尝试访问/home中的文件时,如果用户并未发布web内容,也可能表明服务遭入侵。如果已授予访问权限,也需要采取其他步骤来解决此问题。 最常见的SELinux问题是使用不正确的文件上下文。此问题会在以下情况中发生:即,使用一个文件上下文在某个位置创建了文件,而该文件又被移至预期会使用其
SELinux】总结之策略规则&语法&报错解决
Philister的博客
09-27 5996
SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥(哈希key)4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别和许可相关写法5.1 类别
android中SELINUX规则分析和语法简介
爱技术的蓝胖子
12-11 5438
目录:SELINUX简介查看SELINUX权限1. 进程2. 文件如何配置selinux1.基本语法A. 上下文描述文件B. 策略文件te2.举例:生成规则文件的方法 SELINUX简介 SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统,我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
SELinux中保护进程间通信
07-09
### 在SELinux中保护进程间通信 #### 引言 随着现代计算技术的发展,系统安全变得日益重要。其中,强制访问控制(Mandatory Access Control, MAC)机制是实现安全系统的关键组成部分之一。在安全系统设计中,对...
SELinux简介
MyArrow的专栏
08-08 8023
1. 简介     SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux® 上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux
Android中SeLinux权限 .te文件编写
x2017x的博客
09-05 2万+
  在android中添加一个LocalSocket通信,权限部分折腾了好几天,终于搞定了.   首先在root权限下使用setenforce 0命令放开selinux权限,看看需要的操作是否能成功.如果可以,证明是Selinux的设置问题.仅使用该命令,手机重启又会恢复为enforce为1的状态.为了长久更改此权限,需更改如下.   /device/qcom/sepolicy 目录下找到对应...
SELinux策略语言--编写TE规则
u014674293的博客
08-02 757
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
Selinux篇3 -TE规则
xieyinsen的专栏
11-25 1351
allow vold device:dir write 这句的意思是:允许 type 为 vold 的主体 对 type 为 device的客体 拥有 客体类别为 dir 的write 权限。根据 SELinux 规范,规则定义的格式为: rule_name source_type target_type : class perm_set; 可以看到规则中只用到了主体和客体的 type,而动作是以操作类别与具体操作的组合体现的。 所有 rule_name 如下: allow 表示允许主体对客体执行
Selinux配置详解
seanchan的专栏
08-18 850
<br />    1.背景<br />    SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。<br />    现在以Linux作为因特网服务器是越来越普遍的事了。在我这几年作过的项目里,WEB的开发基本都是基于L
SELinux策略语言--类型强制(编写TE规则)
热门推荐
MyArrow的专栏
08-20 3万+
1. 简介
关于Selinux详解
段小苏的学习之路
04-03 5047
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言  ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值