selinux

最新推荐文章于 2024-04-09 17:30:00 发布
最新推荐文章于 2024-04-09 17:30:00 发布
阅读量219 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rrrr_ffff/article/details/104465734
版权
SELinux是一种内核级的强制访问控制系统,用于增强Linux系统的安全性。它为系统中的每个文件和程序分配安全上下文,限制特定程序访问特定文件。SELinux开启时,如FTP服务,会阻止匿名用户写入文件,而通过sebool可以开关服务的特定不安全功能。通过getenforce检查状态,setenforce切换模式。要修改文件的安全上下文,可使用chcon和semanage,永久变更需要配合restorecon。setsebool用于调整服务功能开关,例如开启FTP匿名用户的写入权限。
摘要由CSDN通过智能技术生成

selinux

  • 1.selinux功能
  • 2.selinux状态
  • 3.安全上下文
    • 3.1 安全上下文的临时更改
    • 3.2 永久更改目录或文件的安全上下文
  • 4.sebool
  • 5.setrouble

1. selinux功能

  • selinux:内核级加强型火墙

  • selinux功能:
    当selinux开启会给系统中的每一个文件及每一个程序加载安全上下文
    特定安全上下文的程序只能访问特定安全上下文的文件
    在这里插入图片描述
    在这里插入图片描述

  • seliux关闭状态:
    1. 在/mnt/中建立文件文件安全上下文为空文件被移动到ftp默认发布目录中可以被访问
    2. ftp程序安全上下文为空
    3. 用户可以上传文件
    在这里插入图片描述

  • 当selinux开启以上功能操作均失败
    在这里插入图片描述

  • selinux开启状态下匿名用户写的权限是关闭的
    在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

  • selinux开启会对服务本身相对不安全的功能加载开关sebool并设定开关为关闭状态以保证服务安全性
    当需要此功能时需要超级用户手动调节

2. selinux状态

  • 查看selinux状态
    getenforce
    在这里插入图片描述

  • 状态类型:

状态意义
Disabled关闭
enforcing强制
permissive警告

  • setenforce 0|1
    0表示警告模式
    1表示强制模式

  • selinux开关:
    vim /etc/sysconfig/selinux
    SELINUX=[selinux的状态]
    在这里插入图片描述

  • reboot
    当Disabled <----> [enforcing|permissive] 都需要重启系统
    在这里插入图片描述

3. 安全上下文

1.安全上下文的临时更改

命令对象
chcon -t 安全上下文文件
chcon -R -t 安全上下文目录

chcon -t public_content_t /var/ftp/westoslinuxfile

lftp 访问服务器会发现此文件可被访问成功
在这里插入图片描述

2.永久更改目录或文件的安全上下文

在这里插入图片描述

  • mkdir /ftpuserdir/westosdir

  • 设定westos用户登陆ftp服务时默认家目录为/ftpuserdir

  • 当用westos用户登陆ftp时/ftpuserdir中的内容无法访问,因为selinux安全上下文不匹配
    在这里插入图片描述

  • 内核安全上下文列表中无信息
    semanage fcontext -l | grep /ftpuserdir

  • 目录和目录里面的文件都更改安全上下文
    semanage fcontext -a -t public_content_t /ftpuserdir’(/.*)?'

  • 只更改目录
    semanage fcontext -a -t public_content_t /ftpuserdir

命令功能
R表示递归刷新
v显示信息
vv显示详细信息
F刷新

在这里插入图片描述
在这里插入图片描述

  • 刷新文件安全上下文
    restorecon -RvvF /ftpuserdir/
    在这里插入图片描述

4. sebool

SEBOOL:
selinux 对服务功能能添加的开关
在这里插入图片描述
查看ftp的功能开关
getsebool -a | grep ftp
在这里插入图片描述
表示开启此匿名用户写的功能
setsebool -P ftpd_anon_write=1|on
在这里插入图片描述
在这里插入图片描述

5. setrouble

dnf install setroubleshoot-server-3.3.19-1.el8.x86_64 -y
在这里插入图片描述

分析日志并提供解决方案
sealert -a /var/log/audit/audit.log
在这里插入图片描述
在这里插入图片描述

rrrr_ffff
关注
Linux-6-sed命令
weixin_57475485的博客
07-21 868
sed是一种支持正则表达式的非交互式流编辑器脚本中修改文本或者文本替换的最佳工具。
Linux常用命令——restorecon命令
AI的博客
01-30 983
使用restorecon来恢复网页主目录中所有文件SELinux配置信息(如果目标为一个目录,可以添加-R参数递归)中,但是在浏览器中却打不开这个文件,这很可能是因为这个文件SELinux配置信息是继承原来那个目录的,与。,我们经常遇到这样的问题,在其他目录中创建了一个网页文件,然后用mv移动到网页默认目录。使用CentOS举例,如果默认没有安装apache,确保网络连接,使用下面的命令安装。使用ls -Z也可以看出,文件和目录的SELinux信息不匹配。恢复文件的安全上下文。
linux selinux策略管理与标签
爱死亡机器人
03-24 6601
1. selinux 策略 #打开80/tcp 、443/tcp端口 firewall-cmd --permanent --add-service=http --add-service=https firewall-cmd --reload 文件系统权限:任何DocumentRoot必须由apache用户或用户组读取,大部分情况下,不允许apache用户或组写入。 selinux:默认selinux策略会限制httpd读取上下文,web服务器默认上下文是httpd_sys_content_t semana
Selinux理解
ELIUAK_d的博客
10-20 1002
了解 selinuxSELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,是由NSA编写并设计成内核模块包含到内核中 扩展: UNIX的安全模型是:任意的访问控制(DAC)。任何程序对其资源享有完全控制权限 而MAC ...
Redhat(2)-SELINUX-基本操作
aggie4628的专栏
10-24 449
SELINUX用来管里文件可以被谁访问,用什么软件访问的系统。setenforce ,restorecon,systemctl,semanage是一些基本用法。
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的LinuxSELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
SELinux SELinux SELinux
最新发布
09-14
SELinux SELinux SELinux
selinux-example_SELinux_
09-28
**SELinuxLinux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
linux文件标签,SELinux标签
weixin_35698091的博客
05-10 1518
进程和文件/目录的标签查看在支持SELinux的系统中,所有的进程都有一个SELinux标签,查看进程的标签可以用下面的命令:adb shell ps -Z下面是Android 8.1.0模拟器上执行这个命令的结果(去掉了kernel、init等开发中很少有需要修改的进程):LABEL USER PID PPID V...
linux selinux 安全上下文 修改
whatday的专栏
03-22 3451
一、chcon命令 1.功能 手动修改文件SELinux安全上下文 2.命令格式 chcon [-R] [-t type] [-u user] [-r role] 文件 chcom [-R] --reference=范例文件 文件 相关参数与选项 -R:连同该目录下的子目录也同时修改 -t:后面接安全上下文的类型栏位。例如:httpd_sys_content_...
linux 文件添加标签,如何创建自定义SELinux标签
weixin_30759083的博客
04-29 1265
我写了一个服务/单个二进制应用程序,我试图在Fedora 24上运行,它运行使用systemd,二进制文件部署到/ srv / bot我编写的这个服务/应用程序需要在此目录中创建/打开/读取和重命名文件.但是当我的应用程序需要重命名时,输出有一个警告:#!!!! WARNING: 'var_t' is a base type.allow init_t var_t:file rename;我goog...
linux恢复文件默认属性,文件SELinux属性
weixin_36060465的博客
05-16 700
文件SELinux属性1.临时修改文件的类型属性文件的类型属性不正确是常见的SELinux拒绝访问的主要原因1)修改文件SELinux属性:[root@localhost ~]# touch test.file ##新建文件[root@localhost ~]# ls -Z test.file ##查看文件SELinux属性-rw-r--r--. root root unconfin...
Linux运维笔记-文档总结-永久更改文件SELINUX安全上下文和管理SELINUX布尔值
Bigstar的博客
05-02 2741
以下所有操作都是在Red-hat 7.0上1.selinux 安全上下文访问规则• WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文 system_u:system_r:httpd_t 标签。该上下文的重要部分 是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t • 系统上的文件和资源也设置了 SELINUX 上下文标签 , 并 且重要的部分是 SELINUX
LinuxSElinux以及防火墙的关闭
热门推荐
wangxiaofei2006的专栏
04-20 4万+
SElinux以及防火墙的关闭 关闭SELinux的方法:   修改/etc/selinux/config文件中的SELINUX="" 为 disabled ,然后重启。   如果不想重启系统,使用命令setenforce 0 注: setenforce 1 设置SELinux 成为enforcing模式 setenforce 0 设置SELinux 成为permissive模式
6.6.7、SELinux 安全上下文的修改和设置:chcon、restorecon
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 641
安全上下文的修改是必须掌握的,其主要是通过两个命令来实现。
SELinux(更新中)
叫我家驹范
06-25 295
Security-Enhanced Linux 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 集成到Linux内核(2.6及以上)中运行 RHEL7基于SELinux体系针对用户、进程、目录、提供了预设的保护策略,以及管理工具 运行模式 enforcing(强制) permissive(宽松) disabled(彻底禁用) 切换运行模式 临时切换:seten...
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统中,Security Enhanced LinuxSELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值