关于linux下的selinux

最新推荐文章于 2023-10-31 17:43:14 发布
最新推荐文章于 2023-10-31 17:43:14 发布
阅读量137 收藏
点赞数
分类专栏: 关于Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45594312/article/details/103078204
版权

1.selinux的概念

  • SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统
  • SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到
  • SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念
  • selinux是一种控制服务安全,是内核上面的一个插件,也叫做内核加强型火墙
  • SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统
  • SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念

2.selinux特点

1.MAC:对访问的控制彻底化,对所有的文件、目录、端口的访问都是基于策略设定的,可由管理员时行设定

2.RBAC:对于用户只赋予最小权限。用户被划分成了一些role(角色),即使是root用户,如果不具有sysadm_r角色的话,也不是执行相关的管理。哪里role可以执行哪些domain,也是可以修改的

3.安全上下文:所有的操作系统访问控制都是主体和客体的相关访问控制属性,在SELINUX,访问控制属性称为安全上下文,安全上下文是一个简单的、一致的访问控制属性,所有客体(文件,进程间通信,通信管道,套接字,网络主机等)和主体(进程)有一个和客体和他们相关的单一安全上下文,一个进程的类型通常称为域,域和域类型都一样,即都是安全上下文的’TYPE’,一个安全上下文是由角色,用户和类型标识符

3.查看、更改seliunx状态

  • getenforce ###查看SELinux当前状态
enforceing表示强制
permissive表示警告
disabled表示关闭
  • 如果是Enforcing和Permissive模式之间的转化,利用命令即可生效:setenforce 0 (宽容模式)| 1 (强制模式)
    在这里插入图片描述
  • 而这两种模式想切换到disbaled,需在文件vim /etc/sysconfig/selinux 中修改:SELINUX=disabled且修改后重启才能生效。

4.对安全上下文的修改

1.当selinux开启时,每个程序每个文件都有特定的安全上下文。特定安全上下文的程序只能访问特定安全上下文的文件。如果我们可以改变安全上下文,使得程序可以访问目标文件。
在这里插入图片描述
在这里插入图片描述

2.解决方法一:临时修改安全上下文

  • chcon -t public_content_t 文件 #将复制进去的文件的标签改成与发布目录一致的就可以了

  • 但是chcon这个更改标签的方式是临时的,selinux重启之后就不会再生效

  • selinux这个插件被禁用又被启用
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    3.解决方法二:永久修改安全上下文

  • mkdir /westos #创建新目录

  • touch /westos/file{1,2} #创建新目录下的文件

  • semanage fcontext -l |grep /var/ftp #查看有关/var/ftp的安全上下文

  • semanage fcontext -a -t public_content_t '/westos(/.*)?' #将目录里的所有文件修改为指定的安全上下文

  • restorecon -RvvF /westos #重新加载目录文件的安全上下文
    在这里插入图片描述
    在这里插入图片描述

5.修改程序的bool值

  • chcon -t public_content _rw_t /var/ftp/pub/ #让匿名用户具有读写这个目录的权力(必须设置)

  • getsebool -a | grep ftp #查看ftp匿名用户能干的事情的状态为off还是on
    在这里插入图片描述

  • setsebool -P ftpd_anon_write on #永久设置让匿名用户可以上传

  • vim /etc/vsftpd/vsftpd.conf #编辑配置文件设置匿名用户可以上传

  • systemctl restart vsftpd ##重启服务

  • chgrp ftp /var/ftp/pub/

  • chmod 775 /var/ftp/pub/
    在这里插入图片描述

  • setsebool -P ftp_home_dir on #将本地用户的家目录永久开启
    在这里插入图片描述

  • 注意:
    0=off 1=on
    要注意vsftpd版本与主机版本是否一致的问题
    之前上传文件需要在disable状态下设置配置文件等等一些操作,现在直接在enforceing状态下设置也可以上传文件

6.报错及解决方法

/var/log/messages 为系统日志,提供一些解决方案 ,需要安装服务才能提供解决方案
/var/audit/audit.log 为selinux真正的日志,不提供解决方案
yum search selinux 
yum install setroubleshoot-server.x86_64 -y

1.有setroubleshoot这个软件服务的情况下:

cd /mnt/
touch /mnt/westosfile
mv /mnt/westosfile /var/ftp/
> /var/log/messages
  • 在客户端lftp 172.25.254.111查看:并没有复制过来的文件
    在这里插入图片描述
cat /var/log/messages  #可以看到日志提供的解决办法 然后就能看到mv过去的了
restorecon -vR /var/ftp/   #刷新(-v不行)利用这个更改标签
ls -Z /var/ftp/   #查看标签是否一致(只有标签一致的时候才能看见复制过去的文件)

在这里插入图片描述

  • 在客户端lftp 172.25.254.111查看:出现复制过来的文件
    在这里插入图片描述

2.没有setroubleshoot 时日志不提供解决办法:

yum search selinux
yum -qa | grep setroubleshoot
yum remove setroubleshoot-server.x86_64  -y
将上述步骤重新使用一遍,就看不到messages日志提供的解决办法
再次安装软件
yum install setroubleshoot-server.x86_64  -y
Outside!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下的selinux
ymeng9527的博客
05-05 407
1.什么是selinuxselinux是一种控制服务安全,是内核上面的一个插件 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件 SELinux 默认安装在 Fed...
linux系统selinux设置。
热门推荐
shang_feng_wei的博客
04-20 1万+
1、SELinux SELinuxLinux 内核提供的强制访问控制系统selinux有disabled、permissive、enforcing 三种选择: Disabled :不启用控制系统。 permissive:开启控制系统,但是处于警告模式。即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。 Enforcing:开启控制系统,处于强制状态。一旦违反了策略,就无法继续...
SElinux的介绍及配置
mogexiuluo的博客
04-18 1725
SELinux(Security-Enhanced Linux) 是(NSA)对于的实现,是 Linux历史上最杰出的新安全子系统SELinux安全增强型Linux系统,是Linux内核子系统,旨在最大限度的减少服务进程对文件、端口等资源的访问SELinux ===》提供系统防护 //内核的功能模式Firewalld ===》提供网络防护 //通过系统服务 firewalld。
Linux CentOS 8(SELinux的配置与管理)
正月十六工作室
10-31 991
SELinux是安全增强型Linux系统,是一个Linux内核模块,也是Linux的一个安全子系统。开启后,会关闭系统不安全的功能。主要作用是最大限度地减小系统服务进程可访问的资源。
LinuxSELinux
qq_57289939的博客
09-07 1292
SELinuxSecurity-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源例如--- 电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器输入的密码信息,而这显然不应该是它应做的事情。
Linux SELinux讲解
m0_49864110的博客
02-25 4281
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
LinuxSElinux以及防火墙的关闭
01-09
SElinux以及防火墙的关闭  关闭SELinux的方法:  修改/etc/selinux/config文件SELINUX= 为 disabled ,然后重启。  如果不想重启系统,使用命令setenforce 0  注:  setenforce 1 设置SELinux 成为...
临时/永久关闭Linux下的selinux
01-25
本资源介绍了如何临时关闭selinux、永久关闭selinux的方法
Linuxselinux基础配置教程详解
09-15
Linux系统Security-Enhanced LinuxSELinux)是一个重要的安全子系统,它通过强化内核来增强系统的安全性。本文将深入讲解如何在Linux环境配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **...
关闭selinux LinuxSELinux的开启、关闭
07-05
SELinuxSecurity-Enhanced Linux 的简写,意指安全增强的linux。它不是⽤来防⽕墙设置的。但它对Linux系统的安全很有⽤。Linux内核 (Kernel) 从2.6就有了SELinuxSELinux是内置在许多GNU / Linux 发⾏版的...
SELINUX配置
limengshi138392的博客
04-18 370
SELINUX配置
Selinux配置
云梦归遥【qq_45834685】
11-03 1993
Selinux配置 selinux对于Linux系统可谓是十重要。它的主要作用是对非超级用户和普通用户进行控制,而是对系统用户进行控制,尤其是一些服务,安装之后会默认创建一些系统用户,为了避免外部人员通过服务访问Linux系统的时候进入系统,访问到其他内容,以及限制服务的作用范围。 但是也可以对端口等作出操作,比如说修改一些著名的服务,比如说httpd的默认访问端口80为10000,避免外部恶意用户进行恶意访问等。 selinux状态: enforcing: 使用selinux强制保护系统 perm
SELinux配置
gaby0611的博客
09-07 3113
一:SELinux简介 在SELinux访问控制体系的限制下,进程只能访问那些在他的任务所需要的文件,从而实现系统的安全性。 1:常见的读取控制机制 (1)DAC (Discretionary Access Control,任意式读取控制),每个对象都会记录一个拥有者的信息。只要是对象的拥有,就可以获得该对象的完全控制权限。DAC允许拥有者完全权限。其他需要读取该对象的时候,必须授予适当的权限。但是每个对象仅有一组拥有者的信息,如果需要更复杂的读取控制能力,必须使用ACL。ACL是DAC的延伸,.
Selinux配置详解
seanchan的专栏
08-18 845
<br />    1.背景<br />    SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。<br />    现在以Linux作为因特网服务器是越来越普遍的事了。在我这几年作过的项目里,WEB的开发基本都是基于L
Linux操作系统网络配置
sue1214的博客
09-30 223
1、关闭selinux: 切换到以下目录: cd /etc/selinux 修改config文件: vi config 修改内容: 将selinux=enforcing,改为 selinux = disabled 2、关闭防火墙: chkconfig --level 2345 iptables off 3、开启network服务: chkconfig --level 2345 network on 4、关闭Net
linux关闭内核命令,CentOS 7关闭/开启SELinux内核简单方法
weixin_31143391的博客
04-29 1964
在使用Centos7系统时,可能经常都需要设置SELinux内核。SELinux内核是提供支持访问控制安全策略的机制,在Centos7系统上面安装一些应用软件时,SELinux内核开启的话可能会造成软件无法运行,例如FTP服务,所以可能关闭SELinux内核配置。那么,在Centos7系统,如何关闭和开启SELinux内核呢?其实关闭SELinux内核是非常简单的,本文简单来说下关闭/开启SEL...
Selinux配置与验证
qq_43195222的博客
04-24 882
Selinux是一种基于内核的安全保护机制,在linux系统种默认自带,但在实际生产环境一般为宽松模式(permissive)或彻底关闭状态(disabled)。本文旨在系统服务启动异常时,作为一个排错思路。
linux 关闭 selinux
最新发布
03-21
关闭SELinux可能会降低系统的安全性,但在某些情况下可能需要关闭它。 要关闭SELinux,可以按照以下步骤进行操作: 1. 使用root权限登录到Linux系统。 2. 打开终端或命令行界面。 3. 编辑SELinux配置文件/etc/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值