linux中内核级加强型火墙的管理

最新推荐文章于 2024-10-08 11:26:54 发布
最新推荐文章于 2024-10-08 11:26:54 发布
阅读量71 收藏
点赞数
文章标签: 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowysumi/article/details/114272595
版权

linux中内核级加强型火墙的管理

环境设定

rm -rf /etc/vsftpd 					##删掉配置文件
dnf reinstall vsftpd -y 			##重新安装
systemctl restart vsftpd

ls -ld /var/ftp/pub 				##清除文件但是没有把权限全部清除
chmod 775 /var/ftp/pub
chgrp ftp /var/ftp/pub

selinux开启前后的对比

  • 当selinux没有开启
    在/mnt中建立文件被移动到/var/ftp下可以被vsftp服务访问到,匿名用户也可以通过设置后上传文件,当使用ls - Z /var/ftp查看文件的时候显示“?”

  • 当selinux开启
    在/mnt中建立文件被移动到/var/ftp下不可以被vsftp服务访问。匿名用户设置后仍然不能上传文件。当使用ls -Z /var/ftp时,vsftp服务可以访问的文件都有context安全上下文,不能访问的没有。

  • selinux
    对于文件的影响,当selinux开启的时候,内核会对每个文件及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文(context)
    对于程序功能的影响,当selinux开启后会对程序的功能加载开关,并设定此开关的状态为关闭状态,当需要此功能时,需要手动开启功能开关,此开关叫做sebool

在这里插入图片描述
##selinux关闭状态
在这里插入图片描述

在这里插入图片描述
##selinux开启状态
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
##新建的westos没有安全上下文,因此不能显示出来

selinux的状态及管理

  • selinux的开启

      vim /etc/selinux/config
  7  SELINUX=disabled  		##selinux关闭
  7  SELINUX=enforcing 		##selinux开机设定为强制状态,此状态为selinux开启
  7 SELINUX=permissive  	##selinux开机设定为警告状态,此状态为selinux开启
 							 (selinux开启或关闭需要重启系统)

 enforcing:不符合条件一定不能被允许,并收到警告信息
 permissive:不符合条件被允许,并会收到警告信息

 selinux状态的查看:getenforce
 
 selinux开启后强制和警告级别的转换:
 setenforce 0   ##警告
 setenforce  1  ##强制

在这里插入图片描述
##警告模式可以上传但是会报错
在这里插入图片描述

  • 安全上下文

     	mkdir /westosdir1     	##建立目录
 	ls -Zd /westosdir1		##查看目录安全上下文
 	touch /westosdir1/file1	##建立文件
 	ls -Z /westosdir1		##查看目录下文件安全上下文
 	chcon -Rt public_content_t /westosdir1	##临时设定目录及目录下文件的安全上下文
 
 	touch /.autorelabel  	##此文件存在,selinux在开机时会自动初始化

 	ls -Zd /westosdir1
 	ls -Zd /var/ftp
 	semanage fcontext -l | grep /var/ftp			##查看安全上下文,里面如果有指定文件的安全上下文,开启后就会显示
 	semanage fcontext -l | grep westosdir

 	semanage fcontext -a -t public_content_t '/westosdir1(/.*)?'  
 													##永久设定安全上下文。 括号里面的表示存在的和未来建立的
 	restorecon -RvvF /westosdir1					##刷新让其立即生效

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

sebool

	getsebool -a  | grep ftp 			##查看
	setsebool -P ftp_anon_write off  	##设置。off关闭,on开启 ,-P表示永久

在这里插入图片描述

selinux会限制使用某些端口

vim /etc/ssh/sshd_config					##以ssh服务为实验,修改端口
semanage port -l | grep ssh 				##查看端口
semanage port -a -t ssh_port_t 1111 -p tcp  ##加入新的端口
semanage port -d -t ssh_port_t 1111 -p tcp	##删除端口

在这里插入图片描述

setrouble

当出现错误,我们如何找到错误?

清空日志
> /var/log/messages  			##清空系统日志。
> /var/log/audit/audit.log   	##清空selinux的警告信息日志。
再次操作步骤
cat  /var/log/message 			##查看系统日志,此日志提供了出现问题的解决方式
cat /var/log/audit/audit.log	##查看selinux的警告信息日志,此日志没有解决方式

/var/log/messages出现解决问题方式的原因是因为安装了下述软件
rpm -qa | grep setrouble					##查看软件
setroubleshoot-server-3.3.22-2.el8.x86_64	##系统安装了这个软件,以致于可以分析警告信息,提供了selinux警报信息的解决方案,并且在/var/log/messages中显示
dnf remove	 	setroubleshoot-server-3.3.22-2.el8.x86_64    如果如此删除这个软件,此时就不会在系统日志中生成解决方式

在这里插入图片描述
##只有报错信息,没有解决方案
在这里插入图片描述

在这里插入图片描述

snowysumi
关注
Linux内核加强型火墙管理
weixin_44717560的博客
11-19 1182
Linux内核加强型火墙管理一、selinux的状态及管理1.selinux的开启(永久性)2.临时修改selinux状态二、Selinux的安全上下文1.查看2.修改安全上下文1.临时修改2.永久改变三、SEBOOL和SEPORT的更改1.SEBOOL2.SEPORT的更改四、setrouble1.先将查找错误的工具卸载掉2.将setroubleshoot-server.x86_64装上 一、selinux的状态及管理 1.selinux的开启(永久性) vim /etc/selinux/confi
第二单元 Linux内核加强型火墙管理
gk12050802的博客
11-04 122
一.Selinux的功能 1.观察现象 当Selinux未开启时在/mnt建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 举例: [roo...
Linux 命令 - ls
weixin_30813225的博客
12-01 118
ll 列出来的结果详细,有时间,是否可读写等信息,象windows里的详细信息ls 只列出文件名或目录名 就象windows里的列表ll -t 是降序, ll -t | tac 是升序ll 不是命令,是ls -l的别名ls 命令可以说是linux下最常用的命令之一。-a 列出目录下的所有文件,包括以 . 开头的隐含文件。-b 把文件名不可输出的字符用反斜杠加字符编号(就象在C语言里一样)的形式列...
Linux——管理SELinux安全性
weixin_61895606的博客
03-23 282
管理SELinux安全性
Linux 的基本指令
ZD_free的博客
05-04 213
Linux 的基本指令 ifconfig 查看IP地址 / 表示根目录 ls 查看某个文件目录下有什么文件或目录 ll 或者 ls -l (ll 结果的每一行第一个字母为 - 表示这个文件是普通文件,第一个字母为 d 表示这个文件是目录文件) ctrl + l 或者输入clear 清屏 pwd 查看当前目录的完整路径 cd 切换当前路径 ...
Linux ls 命令 -d -l 参数讲解
zhougb3的博客
09-24 5万+
Linux ls
linux内核加强型火墙管理
qq_43114229的博客
11-14 662
1、火墙实验环境设定 建立两台虚拟机node1,node2 node1为双网卡主机 ip分别为172.25.254.100 ;1.1.1.100 node2为单网卡主机 1.1.1.200 2、firewall命令的基本使用方式 [root@localhost network-scripts]# firewall-cmd --state 常洵火墙运行状态 running [root@localhost yum.repos.d]# dnf install firewall-config-0.8.0-
Linux 内核加强型火墙管理_linux内核加强型火墙管理博客
2401_83945851的博客
05-05 956
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux内核加强型火墙管理(Selinux
weixin_47408850的博客
11-14 833
一、Selinux的状态及管理 1、selinux的开启和关闭 SELINUX=disabled #selinux关闭 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启 enforcing: 不符合条件一定不能被允许,并会收到警告信息 permissive: 不符合条件被允许,并会收到警告信息 注:sel...
Linux内核加强型火墙管理
qq_47656380的博客
08-31 256
selinux的功能 观察现象,当selinux未开启时 在/mnt下创建文件再移动到/var/ftp,用ls -Z 查看 用ps -auxZ | grep vsftp查看 尝试在客户端连接 修改配置文件匿名用户可以写入目录 当selinux开启时 vim /etc/selinux/config(开启后reboot重启) 在/mnt创建文件并移动到/var/ftp/ 用vsftp服务无法访问 使用ls -Z 查看 ps -auxZ | grep vsftp查看 匿名用户在通过修改配置文件
Linux内核加强型火墙管理
weixin_68585241的博客
07-28 98
一.Selinux的功能 1.观察现象 当Selinux未开启时 在/mnt建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 当selinux开启: 在/mnt建立文件被移
Linuxls 命令的高用法8例
weixin_34077371的博客
12-09 373
Linux下,ls这个命令大家肯定太熟悉了,良许相信只要是Linux工程师,每天都会离不开这个命令,而且一天会使用个几百次。但是,除了 ls -l 以外,你还知 ls 的哪些高用法呢?良许今天为大家介绍 ls 命令的8种高用法。 假如我们有这样的一个文件夹,我们用tree命令查看它的目录结构: img 用法1:列出/home/alvin/test_dir目录下所有文件及目录的详细资料 命令:...
Linuxls命令详细使用
热门推荐
ansha886的专栏
08-08 11万+
ls命令是linux下最常用的命令之一,ls跟dos下的dir命令是一样的都是用来列出目录下的文件,下面我们就来一起看看ls的用法 英文全名:List即列表的意思,当我们学习某种东西的时候要做到知其所以然,当你知道了这个东西大概是个什么了以后你的思维就会联想到很多的东西学习的就会很快。 1. ls -a 列出文件下所有的文件,包括以“.“开头的隐藏文件(linux下文件隐藏文件是以
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
haidizym的博客
10-02 532
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python。
国外电商系统开发-运维系统文件下载
最新发布
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
10-08 139
国外电商系统开发-运维系统文件下载
运维自动化shell脚本总结
大黄鸭在发光的专栏
10-03 419
Shell脚本是一系列命令的集合,通常用于自动化执行任务。
nginx从入门到精通
代码是程序员的语言,博客是思想的桥梁,连接你我,共享智慧之光。
10-08 465
正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端.反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端。
Docker
m0_73939789的博客
10-01 1465
Docker本身包含一个后台服务,我们可以利用Docker命令告诉Docker服务,帮助我们快速部署指定的应用。Docker服务部署应用时,首先要去搜索并下载应用对应的镜像,然后根据镜像创建并允许容器,应用就部署完成了。
探索Linux内核:第3版深度解析
10. **安全性与权限管理**:Linux内核基于用户ID和组ID实现权限管理,并引入SELinux(安全增强型Linux)等机制,加强系统的安全性。 《深入理解Linux内核》第3版通过详细的代码分析和理论解释,让读者能够了解Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值