Linux下的selinux

最新推荐文章于 2022-10-20 12:11:03 发布
最新推荐文章于 2022-10-20 12:11:03 发布
阅读量111 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44776215/article/details/98544497
版权

1.selinux
内核级加强型防火墙
1.针对文件,会对系统中每个文件添加安全上上下文(context)
2.针对进程,会对系统中的每个进程添加安全上下文(context)
3.会在系统服务中设定sebool开关
4.当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
5.sebool会限制的不安全功能,如果需要使用此功能,必须调整sebool值

2.管理selinux
selinux的开关
vim /etc/sysconfig/selinux
SELINUX=enforcing ##selinux开启,级别为强制
SELINUX=permissive ##selinux开启,级别为警告
SELINUX=disabled ##selinux关闭
setenforce 0|1 ##更改selinux当前的级别0警告,1强制
getenforce ##查看当前selinux的状态
注意当selinux从开到关,或者从关到开必须==reboot系统,而0 1之间的切换不需要reboot。

3.selinux对于安全上下文的设定

临时更改适用于更该文件
chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/file

永久更改文件安全上下文
semanage fcontext -l
semanage fcontext -a -t public_content_t /westos
restorecon -Rvvf /westos/

实验1:
selinux给每个文件加标签,标签匹配才能被访问,每个程序安全上下文要匹配
在这里插入图片描述
在开启selinux和vsftpd的情况下,建立/mnt/westos1,然后将/mnt/westos1/,移动到/var/ftp/下。
在这里插入图片描述
用lftp匿名登陆172.25.254.115 ,ls查看,发现不能看到westos1
在这里插入图片描述
而实际/var/ftp/是有westos1文件的
在这里插入图片描述
ls -Z /var/ftp/
在这里插入图片描述
发现 /var/ftp/下pub和westos1的安全上下文不同
此时setenforce 0改变selinux的级别为permissive警告级别,再次lftp 172.25.254.115 发现可以看到westos1
在这里插入图片描述
在这里插入图片描述
再次setenforce 1改为强制模式,就不能看到westos1了

更改westos1的安全上下文跟pub一样
在这里插入图片描述
再次lftp 172.25.254.115,ls发现可以看到westos1了。
在这里插入图片描述
实验2:
再打开selinux的情况下,在ftp服务器上也不能上传文件
在这里插入图片描述
发现是enforcing的状态
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
不能上传。
切换状态到disabled
发现可以上传
在这里插入图片描述
以上就是安selinux对文件以及功能的影响
以及临时解决selinux的问题

如何永久解决安全上下文的问题

semanage fcontext -l | grep /var/ftp 查看系统默认发布目录设置的标签
在这里插入图片描述
自己创建一个/westos 并且在里面创建文件file{1…3}

semanage fcontext -l | grep /westos 发现创建的/westos并没有这个标签
使用semanage fcontext -a -t public_content_t '/westos(/.)?’ 将自己建立的目录加上标签/westos(/.)?意思为/westos目录以及目录本身
semanage fcontext -l | grep /westos可以看到自己创建的/westos标签也和/var/ftp一样了

在这里插入图片描述
ls -Zd /westos

在这里插入图片描述
restorecon -RvvF /westos 刷新
在这里插入图片描述
成功永久设置/westos安全上下文和/var/ftp一致

selinux设置为enforcing仍然可以登陆ftp服务器
使用getsebool -a | grep ftp查看所有ftp的功能的状态
在这里插入图片描述
setsebool -P ftpd_anon_write on 让匿名用户可以上传
在这里插入图片描述
在没更改到on之前,可以看到匿名用户是不能上传的
在这里插入图片描述
在这里插入图片描述
执行setsebool -P ftpd_anon_write on 之后再次lftp 172.25.254.115发现匿名用户可以上传文件。
在这里插入图片描述
执行chcon -t public_content_rw_t /var/ftp/pub让匿名用户具有读写这个目录的权力(必须设置)
enforcing状态下本地用户家目录上传和删除文件
setsebool -P ftp_home_dir on
在这里插入图片描述
在这里插入图片描述
与selinux相关的两个日志
/var/log/messages 系统日志,提供解决方案
/var/audit/audit.log为selinux真正的日志,不提供解决方案
yum install selinux
yum install setroubleshoot-server.x86_64

菜鸡田小白
关注
LinuxSELinux的初级管理
weixin_45792518的博客
02-24 569
1.selinux功能 selinux:内核级加强型火墙 selinux是用来保护系统安全性的一个插件 (1)seliux关闭状态时: 在/mnt/中建立文件文件安全上下文为空,文件被移动到ftp默认发布目录中可以被访问,ftp程序安全上下文为空 用户可以上传文件 (2)当selinux开启后,以上功能操作均失败 不能访问新移动到ftp目录下的linuxfile文件,不能上传文件 se...
Linuxselinux之永久设定文件的安全上下文策略
fox_kang的博客
05-22 225
【代码】Linuxselinux之永久设定文件的安全上下文策略。
Linux服务之FTP
weixin_54822053的博客
10-20 813
setfacl -m u:ftp:rwx /var/ftp/pub ---设置ftp用户对/var/ftp/pub目录有读写权限。#chroot_list_file=/etc/vsftpd/chroot_list ---FTP用户列表文件,每一行一个用户名。anonymous_enable=NO ------控制匿名用户访问权限,YES表示允许匿名访问FTP服务器。ls -ld /var/ftp/pub --查看/var/ftp/pub目录权限,发现其他用户对该目录没有写入权限。
SELinux配置文件(/etc/selinux/config)
热门推荐
chenhualeguan的专栏
02-06 3万+
转置:https://www.hao123.com/?tn=97977680_hao_pg SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子: 清单13-1./etc/selinux/config文件的内容
Linux安全之SELinux理解
mengmeng_921的博客
09-30 2720
安全增强式 LinuxSELinux)是一种强制访问控制的实现。它的作法是以最小权限原则为基础,在 Linux 核心中使用 Linux 安全模块。它并非一个 Linux 发行版,而是一组可以应用在类 Unix 操作系统(如 Linux、BSD 等)的修改。SELinux 更能遵从最小权限的理念安全增强式SELinux是一个在内核中实践的强制访问控制安全性机制Linux安全之SELinux理解两种访问控制DAC:自主访问控制MAC:强制访问控制SELinux有两种工作级别。
LInux基础——SELinux
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
LinuxSElinux以及防火墙的关闭
01-09
SElinux以及防火墙的关闭  关闭SELinux的方法:  修改/etc/selinux/config文件中的SELINUX= 为 disabled ,然后重启。  如果不想重启系统,使用命令setenforce 0  注:  setenforce 1 设置SELinux 成为...
Linuxselinux基础配置教程详解
09-15
Linux系统中,Security-Enhanced LinuxSELinux)是一个重要的安全子系统,它通过强化内核来增强系统的安全性。本文将深入讲解如何在Linux环境中配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **...
如何关闭linuxselinux服务 txt
12-12
在本篇文章中,我们将深入探讨如何在Linux系统中关闭SELinux服务,并且通过文本手册的形式进行详细介绍。本文将从理解SELinux的基本概念入手,逐步深入到具体的关闭步骤、配置文件详解以及可能遇到的问题与解决方案...
关闭selinux LinuxSELinux的开启、关闭
07-05
SELinux 是Security-Enhanced Linux 的简写,意指安全增强的linux。它不是⽤来防⽕墙设置的。但它对Linux系统的安全很有⽤。Linux内核 (Kernel) 从2.6就有了SELinuxSELinux是内置在许多GNU / Linux 发⾏版中的...
linux中seliunux配置文件,SELinux配置文件简单说明
weixin_42136826的博客
05-13 774
SELinux配置文件(/etc/selinux/config)SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子:清单13-1./etc/selinux/config文件的内容1 # This file contro...
selinux内核级加强型火墙
qq_43309149的博客
11-08 156
selinux selinux(secure linux):内核级加强型火墙 selinux文件影响==>安全上下文 selinux对软件影响==>功能开关 1.selinux文件的影响:selinux会给与系统中的每个文件一个安全上下文(context), 同时给予每个程序一个context,若此程 序的安全上下文与文件的安全上下文不匹配, 则文件不能被系统访问,若匹配,...
selinux管理与应用
iteye_3782的博客
09-12 524
1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo...
SELINUX -- setsebool常用设置
weixin_33910137的博客
01-31 392
===ftp===//If you want to share files anonymouslychcon -R -t public_content_t /var/ftp//If you want to setup a directory where you can upload fileschcon -t public_content_rw_t /var/ftp/inco...
setsebool
攻城狮不是猫
04-04 3855
setsebool设置Policy的布尔值,以启用或停用某项Policy# setsebool -P allow_ftpd_anon_write=1   #允许ftpd匿名用户可写# setsebool -P ftp_home_dir 1   #允许用户访问自己的根目录# setsebool -P ftpd_is_daemon 1    #允许daemon运行ftpd# setsebool -P ...
研发管理笔记(一)-CentOS7搭建匿名FTP服务
楚游香的博客
01-10 554
FTP服务器:CentOS7.4 配置vsftpd 编辑 vsftpd 配置文件 vi /etc/vsftpd/vsftpd.conf 设置以下选项,允许匿名用户登录 anonymous_enable=YES 重启 vsftpd systemctl restart vsftpd.service 查看 ftp 相关选项是否开启 getsebool -a | gr
linux配置vsftpd
saya_wj
03-27 662
弄了几天,,莫名其妙就好了。。。 首先安装,然后启用 yum install vsftpd service vsftpd start 修改vsftpd的配置文件 vim /etc/vsftpd/vsftpd.conf 配置文件很容易理解,小写字母=YES/NO代表启用或关闭 anonymous_enable=YES,启用匿名登录 local_enable=YES,允许本地登录 w
RH135---Linux系统管理及网络服务之 linux中内核及加强型火墙管理 --Selinux
Lue的博客
05-28 287
########## 一.Selinux的功能 ############### 1.观察现象 当Selinux未开启时 在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/ vsftpd /etc...
vsftpd学习笔记
两步一脚印的专栏
11-27 5454
这几天在RHEL6.5下捣腾vsftpd服务,在这里记录下自己碰到的问题和解决方法。 1.  匿名用户上传文件 (1) 修改vsftpd.conf文件,使"write_enable=YES"和"anon_upload_enable=YES" (2) 确保上传目录有写的权限 ftp上传文件出现”vsftpd 553 could not create file”现象,排除不是上面两点引起的,可
Linux启用SELinux
最新发布
09-14
1. **安装SELinux**:如果你的系统已经预装了SELinux,可以直接跳到下一步;如果没有,可以使用包管理器如`yum`或`apt-get`安装,例如在CentOS/RHEL上:`sudo yum install selinux-policy-targeted`。 2. **配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值