Linux的至强壁垒——SELinux

最新推荐文章于 2021-05-13 07:44:08 发布
最新推荐文章于 2021-05-13 07:44:08 发布
阅读量310 收藏
点赞数
分类专栏: Linux基础篇 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43570369/article/details/86632969
版权

1.何为SELinux

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。

2.SELinux的模式

enforcing:	强制模式,代表SELinux运作中,且已经正确的开始限制domain/type了。

permissive;	宽容模式,代表SELinux运作中,不过仅会有警告讯息并不会实际限制domain/type的存取.这种模式可以运来作为SELinux的debug之用(看下什么原因导致无法访问)。

disabled:	关闭模式

可以用命令 getenforce 查看当前selinux的模式。
在这里插入图片描述
安全上下文(security context)

这个是我们主要修改的地方,进程必须和文件的安全上下文对应(不是必须一样)才能对其进行访问。

ls -Z 文件名    	   	# 查看文件的安全上下文

ps -Z 进程pid           # 查看进程的安全上下文

3.selinux在系统中的作用。

首先在 /mnt 目录建立一个文件,并且把文件移动到匿名用户的/pub目录里。
在这里插入图片描述
分析:文件file的确移动到了/pub目录里,但是通过lftp连接后看不到
在这里插入图片描述
context共分为五个部分,以:分隔。

身份识别文件、进程、用户数据类型安全级别划分的不同分类
userroletypesensitivitycategory
unconfined_u不受限的用户或文件system_u受限的进程或文件object_r文件,system_r进程和用户何种类型进程访问何种文件s0最低,只有在msl才有意义这个没有什么大的作用
1.临时改变文件的安全上下文。
chcon -t public_content_t /var/ftp/fire		##更改fire文件的安全上下文为public_content_t

在这里插入图片描述

分析:将file文件的安全上下文,更改为vsftpd可识别的安全上下文后,再通过lftp远程连接,就可以看到fire文件了。

2.永久更改文件的安全上下文。
semanage fcontext -a -t public_content_t '/redhat(/.*)?'		##永久更改文件的安全上下文
semanage fcontext -l | grep  redhat		## 查看redhat目录与目录中文件的安全上下文

[root@150 ftp]# mkdir /var/ftp/xiaoma -p
[root@150 ftp]# semanage fcontext -a -t public_content_t '/xiaoma/'	##永久修改安全上下文
[root@150 ~]# mkdir /xiaoma
[root@150 ~]# ls -Zd /xiaoma/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /xiaoma/
[root@150 ~]# semanage fcontext -a -t public_content_t '/xiaoma(/.*)?'
[root@150 ~]# semanage fcontext -l | grep xiaoma
/xiaoma(/.*)?                                      all files          system_u:object_r:public_content_t:s0 
/xiaoma/                                           all files          system_u:object_r:public_content_t:s0 
[root@150 ~]# ls -Zd /xiaoma/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /xiaoma/
[root@150 ~]# restorecon -FvvR /xiaoma/
restorecon reset /xiaoma context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
[root@150 ~]# ls -Zd /xiaoma/
drwxr-xr-x. root root system_u:object_r:public_content_t:s0 /xiaoma/
[root@150 ~]#

在这里插入图片描述

4.selinux的相关作用

1.本地用户上传开关

这里selinux的模式为enforcing。
在这里插入图片描述

2.匿名用户上传

首先这里selinux的模式为enforcing。

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=YES
anon_upload_enable=YES		##允许匿名用户上传
systemctl restart vsftpd.service

在这里插入图片描述
打开selinux匿名用户上传开关。

getsebool -a | grep ftp			##查询权限开关
setsebool -P ftpd_anon_write on	##打开ftp匿名用户写权限

在这里插入图片描述
在这里插入图片描述
更改匿名用户家目录权限和安全上下文可写。

chgrp ftp /var/ftp/pub/
chmod 775 /var/ftp/pub/
ls -Zd /var/ftp/pub/			##查看目录的安全上下文
semanage fcontext -a -t public_content_rw_t '/var/ftp/pub/(/.*)?'	##开启安全上下文写权限
semanage fcontext -l | grep  /var/ftp/pub		##查看pub目录的安全上下文更改。
restorecon -RvvF /var/ftp/pub/	##刷新安全上下文

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5.selinux 的两种模式

setenforce 1		##Enforcing,拒绝访问

setenforce 0		##permissive警告,不拒绝

例子:

[root@150 ~]# cd /mnt/
[root@150 mnt]# touch test
[root@150 mnt]# mv test /var/ftp/
[root@150 mnt]# lftp 172.25.254.150
lftp 172.25.254.150:~> ls
drwxrwxr-x    2 0        50             20 Feb 14 18:58 pub
lftp 172.25.254.150:/> quit 
[root@150 mnt]# getenforce 
Enforcing
[root@150 mnt]# setenforce 0
[root@150 mnt]# getenforce 
Permissive
[root@150 mnt]# lftp 172.25.254.150
lftp 172.25.254.150:~> ls
drwxrwxr-x    2 0        50             20 Feb 14 18:58 pub
-rw-r--r--    1 0        0               0 Feb 14 19:35 test
lftp 172.25.254.150:/> quit

在这里插入图片描述

6.selinux 如何获取报错的解决方案。

[root@localhost ~]# yum install setroubleshoot-server-3.2.17-2.el7.x86_64
[root@localhost ~]# > /var/log/messages 	##清空日志
[root@localhost ~]# lftp 172.25.254.150		
lftp 172.25.254.150:~> ls
drwxr-xr-x    2 0        0               6 Jan 24 08:25 pub
-rw-r--r--    1 0        0               0 Jan 24 06:17 test
lftp 172.25.254.150:/> cd pub/			##进入没有写权限的pub/
lftp 172.25.254.150:/pub> ls
lftp 172.25.254.150:/pub> put /etc/passwd	
put: Access failed: 553 Could not create file. (passwd)	##权限太小被拒绝
lftp 172.25.254.150:/pub> quit
[root@localhost ~]# cat /var/log/messages 	##查看日志

*****  Plugin catchall_boolean (57.6 confidence) suggests   ******************

If you want to allow ftpd to full access
Then you must tell SELinux about this by enabling the 'ftpd_full_access' boolean.
You can read 'None' man page for more details.
Do
setsebool -P ftpd_full_access 1			##出现解决方案

*****  Plugin catchall_labels (36.2 confidence) suggests   *******************

关于Linux内核级防火墙selinux的总结就是这些。

Back to De3ember
关注
专栏目录
临时/永久关闭Linux下的selinux
01-25
本资源介绍了如何临时关闭selinux、永久关闭selinux的方法
Linux基础命令(二十三)Selinux
wzj_110的博客
05-02 830
一、基本概念 1.1)回顾 程序被触发的时候,会将它定义为进程,并给予一个这个进程一个PID,同时根据触发这个进程的用户和相关属性关系,系统给予这个PID一组有效的权限设置,这个PID能够在系统上执行的操作就与这个PID的权限有关! 核心:所有的系统资源都是通过进程来读写的! 1.2)SElinux Security Enha...
cpu能装linux吗,至四核CPU Xeon 安装Linux系统后 能利用到4个核吗?
weixin_42302418的博客
05-13 981
四核CPU Xeon 安装Linux系统后 能利用到4个核吗?我想租用高性能的独立服务器,是至四核的CPU。由于应用的原因,必须安装Linux系统,不知道Linux系统能不能利用到4个核啊?之前我租用过云主机服务器,也是至四核的,可是安装了Linux后,用 cat /proc/cpuinfo 查看只有一个核:[root@west10093 ~]# cat /proc/cpuinfoproc...
cpu能装linux吗,Linux 5.13将为英特尔Alder Lake处理器添加perf支持
weixin_39914863的博客
05-13 375
由于Alder Lake具有Golden Cove高性能内核和低功耗Gracemont内核的混合特点,由于高性能和省电的CPU内核之间的能力不同,在perf子系统和内核的其他选定区域内必须进行特殊处理。由于Alder Lake的混合设计,Linux内核中的英特尔perf代码引入了混合PMU支持,并需要进行大量的其他代码重构。在perf的范围内,Golden Cove内核使用cpu_core PMU...
买工作站该选择至Xeon还是酷睿Core?这两类处理器区别在哪
热门推荐
weixin_33937778的博客
11-14 1万+
很多人对英特尔酷睿(Core)系列CPU 与至( Xeon)系列CPU 处理器的认识,主要停留应用于桌面或服务器上的区别。 Core与Xeon处理器固然是不一样的产品,但是很多人在选择时却都很容易混淆,它们之间有什么不同,主要体现在九大点: 价格Xeon处理器价格往往会比Core处理器价格要贵,但这也不一定。 低速的Xeon E3和Core i5处理器一样便宜,这使得它们对于一些利基市场例如...
深度探索Linux操作系统——系统构建和原理解析
01-24
安全性方面,会介绍Linux的安全机制,如SELinux、AppArmor以及权限管理等。性能优化则涵盖内存管理优化、I/O性能提升和系统调优实践。 总之,《深度探索Linux操作系统——系统构建和原理解析》是一本全面且深入的...
Linuxselinux基础配置教程详解
09-15
Linux系统中,Security-Enhanced LinuxSELinux)是一个重要的安全子系统,它通过化内核来增系统的安全性。本文将深入讲解如何在Linux环境中配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **...
Linux基础课件SELinux运行模式共10页.pdf
最新发布
11-19
Linux基础课件主要聚焦在 SELinux(Security-Enhanced Linux)这一关键安全模块上,它是一种制访问控制机制,旨在增Linux操作系统的安全性。SELinux是美国国家安全局(NSA)开发的,其核心思想是将传统的用户...
Linux系统无法正常开机的修复日常
Taylover的博客
02-15 846
1.硬盘引导阶段 mbr主引导记录的恢复 ##模拟问题: dd if=/dev/zero of=/dev/vda bs=446 count=1 grub2-install /启动分区所在硬盘 2.文件引导阶段 1)引导文件丢失 /boot/grub2/grub.cfg #模拟问题: rm -rf /boot/grub2/grub.cfg #当系统没有重新启动时 grub2-mkconfig...
Linux的文件远程传输及文件打包和压缩
Taylover的博客
01-16 780
#######文件在系统中的传输 1.scp scp file user@ip:/dir ##复制本地电脑文件到远程电脑的目标目录 scp user@ip:/file dir ##复制远程电脑的文件到本地电脑的目录 2.rsync ##远程同步,速度快,默认会忽略,文件属性,链接文件,设备文件 -r ##同步目录 -p ##同步权限 -o ##同步文件所有人 -g ##同步文件所有组 -l ##...
Linux之通过脚本实现全程自动安装Linux系统
Taylover的博客
01-21 748
1.下载自动生成安装脚本的软件 配置好yum源 如何配置yum源 yum install system-config-kickstart -y ##下载安装定制软件 system-config-kickstart ##运行软件,定制系统 vim ks.cfg ##编辑软件生成的文件,自定义安装包 ksvalidator ks.cfg ##检查脚本是否有语法错误 yum install httpd -y ##下载httpd sy
Linux的文件权限管理
Taylover的博客
01-04 421
Linux的文件权限管理 1.文件权限存在的意义 系统最底层安全设定方法之一 保证文件可以被可用的用户作相应操作 2.文件权限的查看 命令 用法 ls -l file 列出文件的详细信息,如创建者,创建时间,文件的读写权限列表等等 查看“/root/Desktop/”目录下文件“12.31.zip”的详细信息 命令 用法 ls -ld dir 长格式列出目...
Linux的系统I/O重定向
Taylover的博客
01-08 375
1.理解系统的输入输出 2.管理输入输出的符号 ######输出重定向 file ##重定向正确输出file 2> file2 ##重定向错误输出file2 &> file3 ##重定向所有输出到file3 注意:重定向会覆盖原文件的内容 [student@localhost ~]$ find /etc/ -name passwd &am
Linux实用的远程连接服务——sshd
Taylover的博客
04-05 369
###1.sshd简介 sshd=secure shell 可以通过网络在主机中开机shell的服务 客户端软件 sshd 连接方式: ssh username@ip ##文本模式的链接 ssh -X username@ip ##可以在链接成功后开机图形 注意: 第一次链接陌生主机是要建立认证文件 所以会询问是否建立,需要输入yes 再次链接此台主机时,因为已经生成~/....
Linux系统中LVM的管理
Taylover的博客
02-14 344
pv ##物理卷 被lv命令处理过的物理分区 vg ##物理卷组 被组装到一起的物理卷 pe ##物理扩展 lvm设备的最小存储单元lvm时pe的整数倍 lvm ##逻辑卷 直接使用的设备,可以增大缩减并保持原有数据不变 ###lvm建立 1.分区并设定分区标签为8e pvcreate /dev/vdb1 vgcreate vg0 /dev/vdb1 lvcreate -L 20M -n lv0 ...
Linux的网络配置
Taylover的博客
01-19 287
什么是IP ADDRESS 网络进程地址 internet protocol vertion 4 1.ip是由32个0/1组成 11111110.11111110.11111110.11111110=254.254.254.254 2.子网掩码 用来划分网络区域 子网掩码非0的位对应的IP上的数字表示这个IP的网络位 子网掩码0位对应的数字是IP的主机位 网络位表示网络区域 主机位表示网络区域里...
Linux的系统结构及常用命令
Taylover的博客
12-25 271
### 1.Linux系统结构 Linux是一个倒树形结构,最大的目录名称叫“/”(根目录) ##### Linux系统中的二级目录 名称|作用 --------|---- /bin | 二进制可执行文件,系统常规命令 /boot | 启动目录,存放系统自动启动文件,内核,初始化程序 /dev | 系统设备管理文件 /etc | 大多数系统配置文件存放路径 /home | 普通用户家目录 /lib | 函数库 /lib64/ | 64位函数库 /media | 光驱临时挂载点
深入理解SELinux:安全增Linux教程
"这篇教程详细介绍了SELinux,一个由美国国家安全局(NSA)开发的安全增Linux系统。SELinux提供了一种不同于传统UNIX系统中基于用户权限管理的机制,实现了更加细致的授权控制。它主要包含两个核心概念:自主存取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值