内核级加强型火墙selinux的使用方法!!!!

最新推荐文章于 2024-05-02 14:48:25 发布
最新推荐文章于 2024-05-02 14:48:25 发布
阅读量153 收藏
点赞数
分类专栏: 运维基础 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwerty1372431588/article/details/109683197
版权

内核级加强型火墙selinux

1.设置环境

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.加强型火墙的开启与关闭

- vim /etc/sysconfig /selinux        disabled   关闭   enforcing 开启   Permissive  暂时允许,警告模式
- ps axZ | grep vsftpd               ##查看安全上下文进程
- ls -Z /var/ftp                     ##查看ftp下文件安全上下文
- reboot                              ##修改配置文件后需要重启,因为selinux是内核级别的文件
- 重启之后有点慢,因为他需要重新制定安全规则

2.1 关闭时候的状态

在这里插入图片描述

在这里插入图片描述在这里插入图片描述

2.2 开启后操作的状态

在这里插入图片描述

在这里插入图片描述

2.3 selinux对于文件和程序功能的影响

- selinux对于文件的影响
- 	当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
- 	标签内记录程序和文件的安全上下文(context)
- 	如果标签不配套,这个文件就会被禁止,程序根本看不到这个文件
- 	就相当于美国护照跑去法国是不能用的滴!!!
- selinux对于程序功能的影响
- 	当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
- 	当需要此功能时需要手动开启功能开关
- 	此开关叫做sebool

  1. 对于文件,特定安全上下文的程序只能访问特定安全上下文的文件
    在这里插入图片描述

  2. 对于程序功能,通过sebool开关可以设定程序功能是否需要开或者关

    在这里插入图片描述

3. selinux的基本设定

- vim /etc/sysconfig/selinux                   ##selinux开关,更改设置必须重启
- getenforce                                   ##查看selinux状态
- enforcing  强制模式   Permission    警告状态但不会被拒绝    disabled   不管你
- setenforce 0                                 ##只是调整为警告模式
- /var/log/audit/audit.log                     ##selinux日志位置

4. selinux的安全上下文

4.1 查看

- ls -Z          	   ##查看文件的安全上下文
- ls -Zd               ##查看目录的安全上下文
- ps  axZ | grep ftp   ##查看进程的安全上下文

在这里插入图片描述在这里插入图片描述

在这里插入图片描述

4.2 修改

4.2.1 临时修改:此方式在selinux重启后会还原

- chcon -t public_content_t   文件名           ##修改i安全上下文,t指定安全上下文模式
- chcon -Rt public_content_t  文件夹名         ##修改目录以及所有目录下的文件的安全上下文
- 但是重启后会还原成原来的安全上下文

在这里插入图片描述

4.2.2 永久修改

- 如果需要特殊指定安全上下文需要修改内核安全上下文列表
- mkdir /westos  touch /westosdir/westosfile{1..5}    ##建立实验环境,创建1个文件夹并写入5个文件
- semanage  fcontext -l  | grep /var/ftp           ##查看/var/ftp文件夹的安全上下文列表
- semanage fcontext -a -t public_content_t "/westosdir(/.*)?"  ##给westosdir文件夹和内部文件都设置安全上下文
- semanage fcontext -a -t public_content_rw_t "/westosdir(/.*)?"  设置为读写模式的安全上下文
- semanage fcontext -m -t public_content_rw_t "/westosdir(/.*)?"  提示安全上下文已经被定以,使用-m 修改
- 上述命令-a 增加  -t指定安全上下文    (/.*)?  表示westosdir文件夹和下面所有文件,因为有特殊符号,所以加引号
- restorecon  -RvvF  /westosdir                       ##刷新selinux,完成后安全上下文发生变化
- vim /etc/sysconfig/selinux                       ##selinux关掉在开一遍也可以刷新安全上下文列表
- touch /.autorelabel             reboot ##重启系统时selinux初始化文件标签开关文件
- enforcing 下建立这个文件,然后重启相当于重新建立selinux规则。

在这里插入图片描述
在这里插入图片描述

5. sebool的设定

- getsebool  -a                      ##显示服务的bool值
- setsebool  -P  ftpd_anon_write on  ##更改sebool设定,on或1为允许,off或0为不允许

在这里插入图片描述在这里插入图片描述

6. selinux的排错

- > /var/log/messages           ##清空日志
- > /var/log/audit/audit.log    ##清空selinux日志
- rm -fr /var/ftp/westos*       ##只留下pub文件夹,这三步是为了保证实验环境纯净
- 实验环境
- touch /mnt/file
- mv /mnt/file /var/ftp
- ll  /var/ftp 
- ll -Z /var/ftp
- lftp 192.168.1.110      ##查看不到file文件
- 查看关于selinux 的日志
- cat /var/log/audit/audit.log       ##selinux日志,但是不提供解决方案
- cat /var/log/messages              ##可以提供解决方案
- rpm -qa | grep setrouble           ##系统提供的slinux排错软件,解决方案放到了/var/log/messages里
-                                    ##卸载之后/var/log/messages不提供解决方案
- dnf install setroubleshoot-server -y  ##安装排错软件

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

7. setport的设定

- semanage -l | grep http         
- semanage port -a -t http_port_t -p tcp 6666    添加端口
- semanage port -d -t http_port_t -p tcp 6666  删除端口
Studying!!!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SELinux使用详解
weixin_33709609的博客
08-27 1060
SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统。Linux系统使用SELinux技术的目的是为了让各个服务进程都受到约束,使其仅能获取到本应获取的资源。例如,你在电脑上安装了一个美图软件,当你在全神贯注地使用它给照片进行美颜时,它却在后台默默监...
SELinux入门
qq_38483583的博客
03-21 278
如果你在之前的Linux生涯中都禁用或忽略了SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的Linux桌面或服务器之下的SELinux系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 回到Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为Linux内核子系统引入了一个健壮的强制控制访问Mandat
最新Linux中开启或关闭SELinux_打开selinux(1)
最新发布
m0_60388419的博客
05-02 294
● 强制模式SELINUX=enforcing:表示所有违反安全策略的行为都将被禁止。● 宽容模式SELINUX=permissive:表示所有违反安全策略的行为不被禁止,但是会在日志中作记录。4.修改完成后,按下键盘Esc键,执行命令:wq,保存并退出文件。5.在根目录下新建隐藏文件autorelabel,实例重启后,SELinux会自动重新标记所有系统文件。6.重启Linux。
Linux系统开启或关闭SELinux
高性价比服务器就选:蓝易云
05-16 2884
SELinux 是一个强制访问控制机制,它在 Linux 内核中实现。相较于其他访问控制机制,如传统的 UNIX 文件权限和 Linux 访问控制列表(ACL),SELinux 能够提供更细粒度的访问控制。在 SELinux 中,每个进程和对象都有一个安全上下文。该上下文包含了一些标签(例如,用户、角色和类型),用于表示该进程或对象的安全级别。在访问控制中,SELinux 使用了一个策略管理器,它会在访问请求到达时检查该请求是否符合策略要求,并在满足要求时批准该请求。
Linux启动SELinux
qq_43203949的博客
06-15 3539
centos自带SELinux。 开启 先编辑配置信息 在根目录下创建隐藏文件,然后重启Linux 验证 切换SELinux模式 模式切换不需要重启linux,而在关闭SELinux(设为disabled)或开启(设为permissive,Enforcing)需要重启Linux。 Utunbu 安装,似乎不是自带的,而是使用代替。本人在测试,发现只有,所以我需要使用进行替换。 开启 也是配置信息,会发现跟centos那边的SELinux的配置文件有一些些不同,不过主题内容大致一致。 验证 验证方式没改变 .
Linux之SELinux的介绍以及用法
xu710263124的博客
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
SELinux:为任何Linux环境带来世界级的安全性! SELinux为Linux/UNIX集成商、管理员和开发人员提供了最
01-16
SELinux:为任何Linux环境带来世界级的安全性! SELinux为Linux/UNIX集成商、管理员和开发人员提供了最先进的平台,用于构建和维护高度安全的解决方案。既然SELinux已经包含在Linux 2.6内核中,并且默认情况下在...
Warning! Service ro_isn needs a SELinux domain defined; please fix!.pdf
02-18
安卓增加自启动守护进程时,selinux权限的增加方式
selinux 学习笔记,帮助学习seLinux 使用
11-08
selinux 学习笔记
关闭selinux(防火墙)方法分享
09-15
默认装完CentOS,Selinux是打开的,这个你基本都是需要关闭,查看当前selinux的状态后,就可以按以下方法关闭selnux了
云计算专业毕设分享!!!
09-13
数据库服务是云计算平台的基础组件之一, OpenStack 使用 MySQL 作为数据库服务,提供了数据存储和管理功能。通过安装 MySQL 服务和配置文件,可以搭建数据库服务。 3. 镜像服务: 镜像服务是云计算平台的核心组件...
linux 系统管理员l,系统管理员的 SELinux 指南
weixin_31617975的博客
05-02 152
SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。正确的标签格式是 user:role:type:level(可选)。多级别安全Multi-Level Security(M...
Selinux理解
ELIUAK_d的博客
10-20 912
了解 selinuxSELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,是由NSA编写并设计成内核模块包含到内核中 扩展: UNIX的安全模型是:任意的访问控制(DAC)。任何程序对其资源享有完全控制权限 而MAC ...
selinux 开启和关闭
热门推荐
Amn-o的博客
03-10 9万+
对于新手来说,linux的selinux困扰了一大批学员,开启后,导致文件权限修改不了等问题,下面就是关闭设置setlinux的方法查看SELinux状态:1、/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态SELinux status:                 enabled2、getenforce        ...
SELinux学习:label相关
Linux
01-04 1153
参考链接: SELinux 安全策略解析 Understanding SELinux File Labelling and SELinux Context Practical SELinux for the beginner: Contexts and labels Security-Enhanced Linux SELinux/Labels SELinux/EnforcePolicy SELinux AVC denies at boot SELinux 及 permision denied 问题 SELi
/etc/selinux/config与/etc/sysconfig/selinuxselinux状态设置
阿白,
09-28 3186
/etc/sysconfig/selinux是指向原文件/etc/selinux/config的一个软连接文件, 修改/etc/sysconfig/selinux会破坏连接关系使其变成普通的文件不再是系统认为的selinux的配置文件 建议修改/etc/selinux/config即可 设置selinux状态方法有永久和临时两种 永久: 修改配置文件/etc/selinux/config的SELINUX=disabled,然后需要重启服务器生效 临时: getenforce可以查看当前selinux的状态
selinux 简介
qq_43679416的博客
09-07 1575
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) 1.对内核对象和服务的访问控制 2.对进程
selinux 标签_了解容器运行时的SELinux标签
cumo3681的博客
06-30 775
selinux 标签 最近,我通过电子邮件回答了有关SELinux和容器运行时的问题。 之后,我意识到其他人可能会对同一个主题感到疑惑,所以我决定将答案变成一篇针对Opensource.com的文章,希望我可以帮助其他有相同问题的人。 电子邮件开始了: “ Dan,几年前您很乐意回答我的SELinux问题,我希望您仍然在从事这个行业。” 尽管我现在是Red Hat的容器团队的负责人,并且...
SELinux(更新中)
叫我家驹范
06-25 270
Security-Enhanced Linux 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 集成到Linux内核(2.6及以上)中运行 RHEL7基于SELinux体系针对用户、进程、目录、提供了预设的保护策略,以及管理工具 运行模式 enforcing(强制) permissive(宽松) disabled(彻底禁用) 切换运行模式 临时切换:seten...
cobbler !!! TASK FAILED !!!
08-24
如果问题仍然存在,您可以检查SELinux的设置是否会影响cobbler的运行。 此外,根据引用的提供,您可能还需要安装pykickstart和检查kickstart语法。您可以使用以下命令安装pykickstart并验证kickstart语法是否正确。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Studying!!!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值