18. Linux系统中的 selinux服务

最新推荐文章于 2023-03-09 14:50:17 发布
最新推荐文章于 2023-03-09 14:50:17 发布
阅读量433 收藏
点赞数
分类专栏: Linux运维基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43687755/article/details/97982217
版权

Lesson18 Linux系统中的 selinux服务

文章目录

1. 了解selinux
selinux是一种控制服务安全,是内核上面的一个插件,也叫做内核加强型火墙
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统
NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统
对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的
SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念
由于selinux涉及安全上下文的问题,因此会使很多操作的结果不正确,如果要使用selinux,就需要修改对应文件的安全上下文,非常不方便,所以在企业中很少使用
2. selinux的开关
实验准备:1. 在真机里面reset server虚拟机,并且开启server虚拟机
2. 给server虚拟机配置ip为172.25.254.114
3. 给server虚拟机配置共享yum源
4. 给火墙加上永久允许ftp服务,再使用yum源安装lftp软件

下载ftp服务
在这里插入图片描述
给火墙加上永久允许ftp
在这里插入图片描述

查看selinux的状态

注意:1.selinux对服务访问文件以及功能有影响
2.enforceing与permissive二者可以直接进行切换,但是二者与disabled(关闭selinux)进行切换时要reboot
即selinux由开到关,或由关到开,都要reboot重启系统

状态说明
enforceing强制模式
permissive警告模式
disabled关闭模式

selinux对文件的影响:
selinux给每个文件加标签 标签匹配才能被访问,每个程序安全上下文要匹配(在/var/ftp/下看mv过去的能不能看到)

selinux对功能的影响:
在每不安全的功能上面加功能开关(默认关闭),安全性提高,0关闭,1开启(在/var/ftp/pub/能不能上传文件)
不是服务本身不允许,而是selinux不允许

3. 临时更改安全上下文(适用于文件)

开启selinux,开启vsftpd,建立文件/mnt/westos1,并且移动到/var/ftp
在这里插入图片描述
用匿名用户身份登录,可以看到,不能ls 查看到westos1
在这里插入图片描述
但是,/var/ftp/是有westos1文件的
在这里插入图片描述
在这里插入图片描述
可以看到,/var/ftp/westos1和pub的安全上下文是不一致的
将selinux的级别改为permissive警告模式
在这里插入图片描述
再次连接查看发现可以看到westos1文件
在这里插入图片描述
再次setenforce 1改为强制模式时,就不能看到westos1文件了
在这里插入图片描述在这里插入图片描述

chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/westos1 #更改westos1的安全上下文与pub一致
在这里插入图片描述

更改了westos1的安全上下文,则可以查看到/var/ftp/westos1
在这里插入图片描述

开启selinux,在ftp服务器上也不能上传文件
在这里插入图片描述
在配置文件里设置允许匿名用户上传文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到,不能上传文件
将selinux的状态切换到disabled
在这里插入图片描述
重启
在这里插入图片描述
在这里插入图片描述
可以看到,匿名用户可以上传

4. 永久更改安全上下文

semanage fcontext -l #查看系统默认发布目录设置的标签在这里插入图片描述
在这里插入图片描述
建立/westos,在这个目录下创建5个文件
在这里插入图片描述

但是我们自己建立的目录与默认发布目录的标签不一致

semanage fcontext -a -t public_content_t '/westos(/.*)?' #将自己建立的发布目录加上标签(目录里面的内容)
在这里插入图片描述
在这里插入图片描述

restorecon -RvvF /westos/ #刷新使其生效

在这里插入图片描述在这里插入图片描述
可以看到,永久设置/westos安全上下文和pub一致成功

5. ftp功能状态的修改

getsebool -a | grep ftp #查看ftp的状态
在这里插入图片描述
在这里插入图片描述
在没修改到on时,匿名用户不能上传
在这里插入图片描述
在这里插入图片描述
ftpd_anon_write的状态已经修改为on,执行 chcon -t public_content_rw_t /var/ftp/pub,让匿名用户具有读写这个目录的权力
在这里插入图片描述
在这里插入图片描述
可以看到,匿名用户上传成功

在enforcing状态下,本地用户家目录上传和删除文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到,本地用户可以上传文件
在这里插入图片描述
本地用户可以删除文件

6. 与selinux相关的日志

/va/log/messagesr #系统日志,提供解决方案
/var/audit/audit.log #selinux真正的日志,不提供解决方案
/var/log/secure #查看登陆系统的用户

7. 管理selinux端口标签

实验准备:
这个实验使用server虚拟机来做,此时server虚拟机的selinux状态为enforcing
在这里插入图片描述
配置server虚拟机的ip为172.25.254.214,配置完毕后需要重启网络
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
配置好server虚拟机的yum源
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

使用yum源安装apache服务
在这里插入图片描述在这里插入图片描述
安装完成

systemctl start httpd #开启apache服务
netstat -antlupe | grep httpd #查看apache服务开启的端口
在这里插入图片描述
vim /etc/httpd/conf/httpd.conf #编辑apache服务的主配置文件,修改apache服务监听的端口为8888
在这里插入图片描述
在这里插入图片描述
systemctl restart httpd #重启apache服务

在这里插入图片描述
发现配置文件无法重启,这是因为selinux的状态为enforcing,阻止了apache服务端口的修改,如果将selinux的状态设置为permissive,则apache服务能够重启

在这里插入图片描述

netstat -antlupe | grep httpd #查看apache服务开启的端口
在这里插入图片描述
将selinux模式设置为enforciung
在这里插入图片描述在这里插入图片描述

semanage port -l | grep http #列出apache服务端口标签
发现没有我们添加的8888端口
semanage port -a -t http_port_t -p tcp 8888 #添加端口标签
在这里插入图片描述
systemctl restart httpd #重启apache服务
在这里插入图片描述
这里注意,重启apache服务需要等待大约十几秒的时间,如果此时重启失败,显示killed,则是selinux软件本身的bug,换一台虚拟机重新做实验
netstat -antlupe | grep httpd #查看apache服务开启的端口是否有8888
在这里插入图片描述

semanage port -d -t http_port_t -p tcp 8888 #删除端口标签

Nickxyoung
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
什么是Security-Enhanced Linux
xibaiyu的专栏
03-25 1108
什么是Security-Enhanced Linux 英文原文来自www.RedHat.com by Russell Coker 翻译:胡智江 主要内容 介绍: SELinux概览: SELinux深入研究: Fedora策略的实现: Fedora的缺省SELinux策略: 介绍: 当今世界,无处不在高速互联网连接、如备有无线接入点的咖啡馆和在网上到处传播的各种黑客工具使得出于对计算机安全的
SELINUX 服务
weixin_42688499的博客
04-17 2339
目录 一、SELinux 服务介绍 1.1、临时关闭服务 1.2、永久关闭 二、端口上下文 添加端口号的规则的规则库 三、使用布尔值调整selinux策略 四、文件或目录安全上下文 (标签) 4.1、安全上下文介绍 4.1.1、身份字段 4.1.2、角色字段 4.1.3、类型字段 4.1.4、灵敏度 4.2、查询安全上下文 4.2.1、查询某一进程的安全上下文 4.2.2、查询某一目录或文件的安全上下文 4.2.3、查询默认安全上下文 4.3、修改目录安全上下文 4.3.
Linux服务selinux
weixin_54822053的博客
09-25 515
selinux之前是基于自主存取控制方法DAC,只要符合权限即可,通过suid和sgid特殊权限存在有一定的安全隐患,甚至一些错误的配置就会引发巨大的漏洞,被轻易攻击。selinux是基于强制存取控制方法MAC,应用程序或用户必须同时符合DCA既要对应selinux的MAC才能正常操作,否则遭到拒绝。MAC:强制访问控制,主体是程序,访问目标文件,由文件权限和策略决定。DAC:自主访问控制,主体是用户,访问目标文件,由文件本身权限决定的。在权限基础上,定义各种所属类型,类型不匹配将拒绝。
CentOS8基础篇16:SELinux服务关闭与开启
weixin_41687096的博客
03-09 1983
CentOS8基础篇:SELinux服务关闭与开启。
LinuxSELinux的介绍以及用法
xu710263124的博客
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统Selinux的主要作用就是最大限度地减小系统服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
SELinux详解-文版.pdf
10-18
讲解selinux的作用,生效机制,并详细介绍了如何编写selinux策略模块 文版
Linuxselinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在...
关闭Linux系统SELinux功能的教程.docx
09-27
关闭Linux系统SELinux功能的教程.docx
Linux基础课件-SELinux运行模式.pptx
11-02
Linux操作系统基础
使用SELinux 高效管理Linux.pdf
09-06
使用SELinux 高效管理Linux.pdf
SELinux整理笔记
liguangxianbin的博客
05-25 5101
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
Linuxselinux服务
Jelly
02-24 588
一、基本介绍 全称:NSA Security-Enhanced Linux(内核级加强火墙) 配置文件:/etc/sysconfig/selinux 功能:1.给系统每个文件及程序加载安全上下文,特定的安全上下文的程序只能访问特定的安全上下文文件; 2.对服务本身不安全的功能加载sebool,并且设定开关为关闭状态,当需要此服务时需要超级用户手动开启。 状态: Disabled...
centosselinux功能及常用服务配置
reblue520的专栏
03-08 568
SELinux: Secure Enhenced Linux 常用命令 获取selinux的当前状态: # getenforce 临时启用或禁用: # setenfoce 0|1 永久性启用,需要修改配置文件 /etc/sysconfig/selinux 设置:SELINUX=permissive  /etc/selinu...
Linux系统SeLinux服务
bread_winner的博客
08-11 714
Selinux是什么   Selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ;     Selinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有一个安全标签(即selinux上下文)进行区分,只有对应的标签才能允许访问,否则即使权限是777,也是不能访问的。    ...
selinux 服务
weixin_42859372的博客
08-13 437
Selinux (Security Enhanced Linux) SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux KernelSELinux定义了系统每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查 操作系统有两类访问控制:自主访问...
关闭selinux服务
pittpakk的博客
03-08 378
多数情况下是因为没有专业运维,或者运维懒。。。除了我这么无聊的人,应该不会有多少非专职运维去读那个麻烦死的SELinux文档->_->其实多数情况下你们的东西运行不了只要一个关闭SELinux就可以搞定->_->首先我们可以用命令来查看selinux的状态getenforce   这个命令可以查看到selinux的状态,当前可以看到是关闭状态的。还有一个命令也可以查看出se...
linux系统selinux的简介与用法
热门推荐
jay_youth的博客
05-15 2万+
一.selinux的简介    1.什么是selinux:       selinux(security enhanced linux)安全增强型linux系统,它是一个linux内核模块,也是linux的一个安全子系统。       selinux的主要作用就是最大限度地减小系统服务进程可访问的资源(最小权限原则)    2.selinux有两个级别 强制和警告  setenforce  0|...
Linux系统上的SELinux究竟是个什么?
lvjianzhaoa的博客
09-21 1361
前言: SELinux是一个很深奥的东西,我问过身边好多运维技术人员,他们公司服务器的SElinux在生产环境是开启状态还是关闭状态,得到一个统一的答案——直接关闭,无一例外。 网上也有一句话——一个资深的运维工程师,他系统SELinux一定是关闭的。 所以说,想了解SELinux的,可以了解一下,为了以防以后自己所在的公司要求必须开启SELinux,但自己又不懂,那就尴尬了,不了解也无所谓...
linux】一文彻底明白linuxselinux到底是什么
debimeng
01-30 1063
一、前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管...
linux系统selinux
最新发布
09-23
Linux系统SELinux的状态可以通过配置文件`/etc/sysconfig/selinux`来进行设置。其,`SELINUX=enforcing`表示SELinux被开启并且级别为强制,`SELINUX=permissive`表示SELinux被开启并且级别为警告,而`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值