第三本书第二章Linux中内核级加强型火墙管理(Selinux)

最新推荐文章于 2024-08-15 20:29:14 发布
最新推荐文章于 2024-08-15 20:29:14 发布
阅读量854 收藏
点赞数
文章标签: linux 服务器 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uikotygiug/article/details/121190759
版权
本文详细介绍了在Linux系统中如何管理Selinux,包括设置Selinux的状态,查看安全上下文,以及通过sebool和seport调整防火墙策略。在不同Selinux状态下进行ftp和ssh服务的测试,展示了在enforcing和permissive模式下的行为差异,并提供了解决权限问题的方法。
摘要由CSDN通过智能技术生成

1.实验前准备

  1. rm -fr /etc/vsftpd/

  2. dnf reinstall vsftpd -y

  3. systemctl restart vsftpd

 vim /etc/vsftpd/vsftpd.conf
12行改为yes  29取消注释
systemctl  restart vsftpd

1.Selinux的状态及管理

vim /etc/selinux/config

SELINUX=enforcing 
##selinux开机设定为强制状态,此状态为selinux开启
SELINUX=permissive
##selinux开机设定为警告状态,此状态为selinux开启
SELINUX=disabled  
##selinux关闭
注:selinux打开后,从enforcing改为permisive不需要重启,在直接执行命令

setenforce 0 警告
setenforce 1 强制
日志位置:/var/log/audit/audit.log

1.关闭时  :将test复制到ftp下,不影响访问


 

 

2.enforcing :警告且禁止

配置文件修改selinux状态后重启

  

 touch /mnt/test  
    mv  /mnt/test  /var/ftp/  移动,不要复制
  lftp 172.25.254.112       ls查看四否能看见test

 

  3.permissive :警告但不禁止,日志有相应警告

 

3.selinux的安全上下文查看

ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps axz ##查看进程的安全上下文

1.临时修改:selinux服务重启后失效

chcon -t public_content_t /var/ftp/test
chcon -Rt mnt_t /var/ftp/westos  R是递归   没有R只有目录修改

 

 2.永久修改

如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l 
查看内核安全上下文列表

semanage fcontext -a -t public_content_t   '/westosdir1(/.*)?'
没有括没有递归
 restorecon -RvvF /var/ftp/westos/

 4.sebool

接上面实验,现象:用户无法上传

 

 解决办法:

chmod 775 /var/ftp/pub 不改权限没法上传
getsebool -a 查看现实服务的bool值

 
setsebool -P ftpd_anon_write on  修改bool数值
semanage fcontext -a -t public_content_rw_t '/var/ftp/pub(/.*)?'
 restorecon -RvvF /var/ftp/pub/
给pub写权限,刷新

结果测试:可以上传

 

5.setrouble
排错信息位置 /var/log/messages

touch /mnt/cuiyingying
   mv /mnt/cuiyingying /var/ftp/
  lftp 172.25.254.112
  getenforce 
  setenforce  1
 lftp 172.25.254.112

 

制造问题:看不到cuiyingying

  >/var/log/messages   排空原有信息

5.seport

1.配置文件的位置

vim /etc/ssh/sshd_config

 

 2.修改端口方式之配置文件方式:不成功

 

 

 2.命令

  1. semanage port -a -t ssh_port_t 1111 -p tcp

  2. 在火墙开启的模式下

  3. 更改sshd端口为1111,并同步到tcp中

  4. semanage port -l | grep ssh

  5. 查看sshd服务端口号

 

 

 

 

好难啊!!!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
深入理解linux内核第三版)高清完整PDF
06-30
《深入理解Linux内核》是Linux领域的经典之作,它的第三文版为读者提供了全面而深入的Linux内核解析。这本书对于那些想要了解操作系统底层工作原理、尤其是对Linux内核感兴趣的开发者、系统管理员以及计算机科学...
深入理解linux内核第三版高清带书签).zip
07-04
在这个压缩包,包含的文件是“深入理解linux内核第三版高清带书签).pdf”,这意味着我们可以从这个PDF文档获取到丰富的Linux内核知识。 Linux内核是开源操作系统的核心部分,负责管理硬件资源、进程调度...
selinux配置
chikuibang7042的博客
04-24 131
setsebool -P httpd_enable_homedirs 1 chcon -R -t httpd_sys_content_t ~user/public_html 转载...
Linux第三本书 第二章 linux内核加强型火墙管理
weixin_44743132的博客
11-04 83
一.Selinux的功能 selinux对于文件的影响: 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文(context)。 selinux对于程序功能的影响: 当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭,当需要此功能时需要手动开启功能开关,此开关叫做sebool 二.Selinux的状态及管理 1.实验环境配置: rm -fr /etc/vsftpd/ ##删除目录 dnf reinstall vsft
第三第二章 Linux内核加强型火墙管理
weixin_62615875的博客
11-04 74
###1.Selinux的功能### 内核上开启的一个保护型的功能插件 selinux: 对于文件的影响: 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载 标签内记录程序和文件的安全上下文(context) 对于程序功能的影响: 当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭 当需要此功能时需要手动开启功能开关 此开关叫做seboolSelinux的bool值: 布尔值的调整:功能开关 ### 2.Selinux的状态及管理 ### vim /et
Part3.2——Linux内核加强型火墙管理(Selinux)
Zhaohui_Zhang的博客
11-17 402
一、Selinux的功能 二、Selinux的状态及管理 三、Selinux的安全上下文 四、SEBOOL 五、setrouble
linux 内核火墙,linux内核火墙SELINUX
weixin_39955418的博客
04-29 267
SElinux是基于内核开发出来的一种安全机制,被称之为内核加强型火墙,有力的提升了系统的安全性。SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能在linux系统使用 getenforce 命令可以查看selinux的状态:disabled 为关闭状态,对服务和功能都没有限制enforcing 为强制状态,对服务和功能都进行限制permissiv...
Linux 系统管理第二章学习
weixin_49327241的博客
11-19 64
Linux内核加强型火墙管理 目录 一.Selinux的功能 二.Selinux的状态及管理 三.Selinux的安全上下文 1.查看 2.修改安全上下文 四.SEBOOL 五.SEPORT 六.setrouble 一.Selinux的功能 当Selinux未开启时 在/mnt建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" 当selinux开启: 在/mnt建立文...
2023-2024-1 20232831《Linux内核原理与分析》第十一周作业
qq_53198713的博客
11-28 141
对操作系统安全的关注,实际上是对操作系统信息安全的关注。信息安全的基本原则是CIA三元组(也成为安全原则三剑客)——机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。一个完整的信息安全保障体系,应该充分考虑到CIA三元组的基本原则。机密性(不可见):又称隐私性,是指数据不能被未授权的主体窃取,即避免恶意读操作。完整性(不可改):确保数据只被授权的主体进行授权的修改。即避免恶意写操作。可用性(可读):是指数据能够被授权主体正常访问。
第十二章:设置pod和容器权限-保障集群内节点和⽹络安全
weixin_54279427的博客
08-04 699
PodSecuri​tyPol​icy是⼀种集群别(⽆命名空间)的资源,它定义了⽤户能否在pod使⽤各种安全相关的特性。维护PodSecuri​tyPol​icy资源配置策略的⼯作由集成在API服务器的PodSecuri​tyPol​icy准⼊控制插件完成​。需查看是否开启了PodSecurityPolicy准入插件。当有⼈向API服务器发送pod资源时,PodSecuri​tyPol​icy准⼊控制插件会将这个pod与已经配置的PodSecuri​tyPol​icy进⾏校验。
云数据心运维新纪元:让Linux服务器如虎添翼
热门推荐
程序边界
07-02 1万+
精通Linux的终极指南《Linux系统管理服务器设置、安全、云数据心(第10版)》在上一版的基础上全面更新,旨在帮助Linux新手及用户将Linux知识和技能提升到新水平。知名Linux专家、畅销书作家Christopher Negus在本书浓墨重彩地描述Red Hat Enterprise Linux、Fedora和Ubuntu新版本及命令行工具,并通过分步的详明演示和精选习题引导读者悟透Linux操作系统的工作原理。本书还为各类Linux认证考试提供备考资料。
第5章LINUX内核体系结构.rar_LINUX内核体系结构/考试参考资料_linux 内核
09-23
Linux内核是操作系统的核心部分,负责管理系统的硬件资源,提供基础服务给上层的应用程序,以及维护系统的稳定性与安全性。本章重点讲述了Linux内核的体系结构,这对于我们理解和掌握Linux系统至关重要。以下是对该...
深入理解Linux内核(第三版)_高编程_
09-30
《深入理解Linux内核》是Linux系统开发领域的一本经典之作,其第三版更是涵盖了大量更新的内容,适合那些想要深入探索Linux内核机制的高程序员和系统管理员阅读。这本书不仅详细解析了Linux内核的工作原理,还提供...
深入理解linux内核第三
03-30
《深入理解Linux内核》是Linux系统开发领域的一本经典著作,第三版更是结合了最新的Linux内核版本,提供了全面、深入的内核解析。这本书涵盖了Linux内核的诸多核心概念和技术,对于想要深入了解Linux操作系统...
Linux 定时任务
flash的博客
08-14 249
Linux系统,cron是一个广泛使用的定时任务工具,允许用户安排周期性执行的任务(脚本或命令)。cron守护进程(crond)会读取配置文件(通常位于/etc/crontab),并根据这些配置文件指定的时间规则来执行相应的任务。
linux:有关目录、链接文件的函数 Makefil、gdb的使用
最新发布
T66656的博客
08-15 431
功能:根据用户id到/etc/passwd文件下解析获得结构体信息参数:uid:用户id返回值:成功返回id对应用户的信息失败返回NULLpasswd结构体的定义通常如下所示。
linux开启RNDIS,实现虚拟网卡
轩辕霸天L
08-15 192
首先要 `make clean`,清空之前的编译结果。
linux进程
lijiaweixx的博客
08-12 386
设计程序动态生成两个进程分别向相同文件写入不同数据时,需注意父子进程操作同一文件,可通过。Linux 的 PCB(process control block)进程的主要作用是实现并发,提高系统资源的利用率和系统的处理能力。内核的主要功能之一是完成进程调度,宏观上并行,微观上串行。创建进程,在不同的进程分支通过。获取进程 ID 及时间来标识。
鸟哥Linux私房菜第三版:全新指南,含SElinux入门
第三,作者对内容进行了优化,采用了更紧凑的排版,并新增了关于SElinux(Security-Enhanced Linux)的部分,增强了安全性介绍。 基础学习篇部分提供了丰富的命令速查表,涵盖了Linux系统的各种基础操作...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值