linux中的内核级加强型火墙的管理

最新推荐文章于 2024-09-27 15:20:44 发布
最新推荐文章于 2024-09-27 15:20:44 发布
阅读量263 收藏
点赞数
分类专栏: linux系统管理和网络服务 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46490950/article/details/116438073
版权

实验环境准备

1.删除配置文件
rm -fr /etc/vsftpd/
2.重新安装ftp
dnf reinstall vsftpd -y
3.授予权限
ls -ld /var/ftp/pub/
chmod 775 /var/ftp/pub/
chgrp ftp /var/ftp/pub/
ls -ld /var/ftp/pub/
4.允许匿名用户登陆
vim /etc/vsftpd/vsftpd.conf
systemctl restart vsftpd
lftp 172.25.254.129
在这里插入图片描述
更改权限和所有组
在这里插入图片描述打开本地ftp服务
在这里插入图片描述
在这里插入图片描述

1.Selinux的功能

对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)

对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
Selinux的bool值: 布尔值的调整:功能开关

2.Selinux的状态及管理

vim /etc/selinux/config
设置
SELINUX=enforcing
##selinux开机设定为强制状态,此状态为selinux开启

SELINUX=permissive
##selinux开机设定为警告状态,此状态为selinux开启
SELINUX=disabled
##selinux关闭

当前开启强制模式
在这里插入图片描述

更改之后需要重启
否则不生效
在这里插入图片描述
更改完需要重启系统,否则不生效
getenforce
查看selinux状态
在这里插入图片描述

selinux开启后强制和警告级别的转换
setenforce 0 #警告
setenforce 1 #强制

selinux日志位置
/var/log/audit.log
在这里插入图片描述

3.selinux的安全上下文

临时修改安全上下文
chcon -t public_content_t /westosdir1/
chcon -Rt public_content_t /westosdir1/ #修改目录及目录中所有子文件的安全上下文

ls -Z #查看文件安全上下文
ls -Zd #查看目录的安全上下文
ls axZ #查看进程的安全上下文

touch /.autorelabel #此文件存在selinux在开机时会自动初始化文件标签
在这里插入图片描述
可以看到新建的目录的安全上下文是 default
然后更改安全上下文
在这里插入图片描述
然后加上R表示递归 更改安全上下文
在这里插入图片描述然后重启电脑
在这里插入图片描述

开机之后发现 安全上下文又恢复之前的样子了
在这里插入图片描述
那么如何永久更改呢?
semanage fcontext -l | grep /var/ftp #查看内核安全上下文列表
semanage fcontext -a -t public_content_t ‘/westosdir1(/.)?’ #修改安全上下文,(/.)指的是westosdir1的子文件

在这里插入图片描述
然后刷新一下 目录
restorecon -RvvF /westosdir1 #刷新
在这里插入图片描述

4.SEBOLL

getsebool -a | grep ftp #现实服务的bool值
在这里插入图片描述
setsebool -P ftpd_anon_write on#更改为开启
在这里插入图片描述

5.SEPORT

semanage port -a -t ssh_port_t 1111 -p tcp #添加1111端口
semanage port -l | grep ssh #查看
semanage port -d -t ssh_port_t 1111 -p tcp #删除1111端口
在这里插入图片描述

6.setrouble

/var/log/audit/audit.log #selinux警告信息
/var/log/messages #selinux问题解决方案
setroubleshoot-server #此软件功能是采集警告信息并分析得到解决方案存放到messages

测试:

/var/log/audit/audit.log #清空日志
/var/log/messages #清空日志
touch /mnt/lee
mv /mnt/lee /var/ftp #将lee移到ftp发布目录
lftp 172.25.254.113 #ls
cat /var/log/audit/audit.log #能够看到警告信息
cat /var/log/messages #能看到警告信息和解决方案
在这里插入图片描述

rpm -qa | grep setrouble #查看setroubleshoot-server 服务
在这里插入图片描述
在这里插入图片描述
这样是可以看到messages信息的
在这里插入图片描述
dnf remove setroubleshoot-server-3.3.22-2.el8.x86_64 #删除此服务,此时做相同的动作,但看不到message内容
在这里插入图片描述

在这里插入图片描述

dudududu--
关注
专栏目录
linux内核的高配置
11-20
Linux内核是操作系统的核心部分,它负责管理系统的硬件资源,提供必要的系统调用和服务,以及为上层的应用程序提供运行的平台。对于高配置,理解并掌握这些内容可以帮助你优化系统性能,提升安全性,以及更好地...
获取目录服务器信息失败是怎么回事,“在 setroubleshoot 服务读取信息时出错:没有那个文件或目录” 的解决办法...
weixin_36046574的博客
08-10 1834
在学习鸟哥的LINUX私房菜(基础篇)第17.5.5 SELinux所需的服务 章节鸟哥提到:[root@www ~]# chkconfig --list setroubleshootsetroubleshoot 0:off 1:off 2:off 3:on 4:on 5:on 6:off# 我们癿 Linux 运作模式是在 3 戒 5 号,因此这两个要 on 卲可。我的虚拟机为CentOS5....
Selinux理解
ELIUAK_d的博客
10-20 984
了解 selinux: SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,是由NSA编写并设计成内核模块包含到内核 扩展: UNIX的安全模型是:任意的访问控制(DAC)。任何程序对其资源享有完全控制权限 而MAC ...
selinux内核加强型火墙对ftp,http部署影响,troubleshooting
dreamer_xixixi的博客
05-17 360
SELINUX1.什么是selinux?  selinux内核加强型火墙  SElinunx实现了一个更灵活的MAC形式,叫做类型强制(Ttpe Enforcement)和一个非强制的多层安全形式(Multi-Level)2.如何管理selinux别?  selinux开启或者关闭 vim /etc/sysconfig/selinux selinux=Disabled #关闭状...
SELinux安全
weixin_34029949的博客
03-08 190
一、SELinux配置文件在CentOS 7系统部署SELinux非常简单,由于SELinux已经作为模块集成到内核,默认SELinux已经处于激活状态。对管理员来说,更多的是需要配置与管理SELinux,CentOS 7系统SELinux全局配置文件为/etc/sysconfig/selinux,内容如下:[root@centos7 ~]# vim /etc/sysconfig/selin...
基于Linux内核的Android安全探讨.pdf
09-06
5. SELinux(Security-Enhanced Linux):从Android 4.3版本开始引入,SELinux增强了Linux内核的安全性,通过强制访问控制策略限制了进程的行为,进一步加强了安全隔离。 6. Android运行时权限:在Android 6.0及...
Linux之父发布新版内核 多项技术调整.pdf
09-06
最近,托沃兹发布了Linux内核的最新版本,这一更新带来了多项重要的技术调整。 在Linux 2.6.23版本,我们可以看到对Sun Microsystems公司的64位Sparc芯片架构进行了优化和支持。Sparc是一种高性能的处理器架构,...
Linux内核情景分析(非扫描)
06-11
Linux内核是整个操作系统的心脏,它管理着硬件资源,为上层的应用程序提供服务,同时也是多任务并行、内存管理、设备驱动、网络通信等关键功能的实现基础。以下是对这一主题的详细展开: 1. **内核概述**:Linux...
Linux内核2.4版源代码分析大全.rar
04-17
1. 进程管理:在2.4版Linux内核引入了更先进的调度算法,如O(1)调度器,它能够在常数时间内完成调度,提高了高负载情况下的性能。此外,内核还支持实时进程,为需要低延迟的应用提供了更好的支持。 2. 虚拟内存...
Linux —— 网络基础(一)
学习C++的小陈同学
09-22 1010
本篇只是简单的建立一个关于网络的基本概念和框架,有很多概念上不太完整,只是自己为了自己在初入学习网络时的简单粗俗理解,方便后续深入的学习网络相关的知识,如果有需要纠错的地方,可以评论一起讨论。
Linux实践】实验四:Shell实用功能及文件权限
Fulling的博客
09-25 717
实验内容 1、使用命令“cat /etc/named.conf”设置为别名named,然后再取消别名。 2、使用echo命令和输出重定向创建文本文件/root/nn,内容是hello,然后再使用追加重定向输入内容为word。 3、使用管道方式分页显示/etc/passwd的内容。 4、分别用文字设定法和数字设定法,对/root/ab文件设置权限,所有者为读取、写入和执行权限,同组用户为读取和写入权限,其他用户没有任何权限。 5、将文件/root/ab所有者更改为用户zhangsan。 6、将目录/root/
Linux 安装redis主从模式+哨兵模式3台节点
一千个读者就有一千个哈姆雷特
09-27 197
Linux 安装redis主从模式+哨兵模式3台节点
linux 源代码编译
Lxn2zh的博客
09-27 1114
有时候会在linux上下载源码包,然后进行编译成可执行的文件,这个过程需要经过configure、make、make install、make clean四个步骤。configure 为这个程序在当前的操作系统环境下选择合适的编译器和环境参数来编译该代码。make install 将已编译好的可执行文件安装到操作系统指定或默认的安装目录下。make 对程序代码进行编译操作,会将源码编译成可执行的目标文件。make clean 删除编译时临时产生的目录或文件。
在新ARM板上移植U-Boot和Linux指南
最新发布
qq_37255138的博客
09-27 883
基于i.MX6的模块,带有扩展板,以太网,I2C,SPI,NAND,eMMC,SD卡读卡器,USB设备,EEPROM,GPIO,UART,音频(I2S),HDMI,LVDS,PCIe,USB主机,RTC,电源管理集成电路(PMIC)
Linux ping c实现
xuyun0565的专栏
09-24 369
linux下ping程序的c实现。
Linux:共享内存】
2201_75755162的博客
09-19 729
共享内存不随着进程的结束就释放,因为共享内存不属于进程而属于操作系统,需要手动释放或者后续其它系统调用。共享内存的生命周期随内核
Linux——pod的调度
Xinan_____的博客
09-27 715
CronJob 的名称必须是一个合法的 DNS 子域值, 但这会对 Pod 的主机名产生意外的结果。如果应用程序不需要任何稳定的标识符或有序的部署、删除或扩缩, 则应该使用由一组无状态的副本控制器提供的工作负载来部署应用程序,比如 Deployment 或者 ReplicaSet 可能更适用于你的无状态应用部署需要。尽管 StatefulSet 的单个 Pod 仍可能出现故障, 但持久的 Pod 标识符使得将现有卷与替换已失败 Pod 的新 Pod 相匹配变得更加容易。
Linux---文件io
caiji0169的博客
09-25 1003
系统调用、open/close函数、read/write函数、文件描述符(PCB进程块)、阻塞和非阻塞、fcntl函数、lseek函数以及传入传出参数.........
Linux下永久修改hostname
weixin_41716656的博客
09-24 234
【代码】Linux下永久修改hostname。
探索Linux内核:第3版深度解析
10. **安全性与权限管理**:Linux内核基于用户ID和组ID实现权限管理,并引入SELinux(安全增强型Linux)等机制,加强系统的安全性。 《深入理解Linux内核》第3版通过详细的代码分析和理论解释,让读者能够了解Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dudududu--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值