linux web服务器安全配置,使用SELinux的安全上下文保护Web服务器

最新推荐文章于 2022-12-26 14:03:36 发布
最新推荐文章于 2022-12-26 14:03:36 发布
阅读量155 收藏
点赞数
文章标签: linux web服务器安全配置

使用SELinux的安全上下文保护Web服务器

假设我们想要在Linux服务器上运行Apache Web服务器程序,由于这台服务器会运行一些关键应用,并暴露在互联网上,所以我们想确保这台Web服务器受到尽可能多的保护。

如果你启动Web服务并尝试配置你的Web服务器允许执行某些CGI脚本,如hello.pl,那么如果不改变SELinux的配置,Linux系统日志和SELinux审计日志都会记录到错误。要在SELinux审计日志中查看这些错误,执行sealert –b。这会打开SELinux审计日志,如下所示:

73d2d4c3856bb20bfdca5907b3f5f84b.png

现在的问题是,为什么会出现这种情况?答案很简单,因为hello.pl是一个CGI可执行程序,它应该被归为httpd_sys_script_exec_tdomain上下文,而不是httpd_sys_content_t。

我们可以使用chcon命令解决这个问题:

root@test3 cgi-bin]# ls -lZ *.pl

-rwxr-xr-x apache apache root:object_r:httpd_sys_content_t hello.pl

[root@test3 cgi-bin]# chcon -v --type=httpd_sys_script_exec_t hello.pl

context of hello.pl changed to

root:object_r:httpd_sys_script_exec_t[root@test3 cgi-root@test3 cgi-bin]

# ls -lZ *.pl

-rwxr-xr-x apache apache root:object_r:httpd_sys_script_exec_t hello.pl

现在我们应该能够看到,我们的Web服务器执行了hello.pl,而且在SELinux日志中也没有产生任何警告或者错误。

151cdbb954c4dc4e258e34669d852426.png

以这种方式配置SELinux,入侵者很难通过使用未授权的CGI或perl脚本来获得系统的控制。同样地,任何想要更改文件根目录到系统其他用户的子目录的行为都会失败,除非该子目录及子目录下的索引文件已被添加到httpd域。

那么,让我们来假设,我们的Linux服务器上的用户John创建了名为html的子目录。完成该目录和index.html文件的创建后,你会发现,该目录和文件被默认归入user_home_t上下文,如下所示:

ab0f4028b95af1788665b4a93289e32f.png

直到且除非该上下文被修改为正确的httpd上下文域,否则任何试图通过Web服务器访问这个index.html的操作都会被SELinux拒绝,并在审计日志当中留下错误记录。你可以使用chcon命令(如下图)或者semanage命令来改变上下文。

0e9dd153930085f29f771aa8c785bdea.png0b1331709591d260c1c78e86d0c51c18.png

盾牌座
关注
Linux安全策略selinux详解
悦分享
08-07 1159
系统资源都是通过进程来读取更改的,为了保证系统资源的安全,传统的Linux使用用户、文件权限的概念来限制资源的访问,通过对比进程的发起用户和文件权限以此来保证系统资源的安全,这是一种自由访问控制方式(DAC);但是随着系统资源安全性要求提高,出现了在Linux下的一种安全强化机制(SELinux),该机制为进程和文件加入了除权限之外更多的限制来增强访问条件,这种方式为强制访问控制(MAC)。
Linux -- SELinux配置及应用(1)
weixin_33690367的博客
09-18 349
一、SELinux 与强制访问控制系统SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统抵御 0-Day ***(利用尚未公开的漏洞实现的*...
RHCSA8 - 配置SELinux(Web服务的基本配置)
m0_64483960的博客
05-16 555
RHCSA8 - 配置SELinux(Web服务的基本配置)
配置基于linux安全Web服务器
最新发布
a1168wdx的博客
12-26 265
配置基于linux安全Web服务器
linux学习笔记12-配置安全的动态的WEB服务器
beauty9235的专栏
12-26 1004
  配置安全的动态的WEB服务器任务:使用apache配置动态web服务器,组建php+mysql开发环境,并且增加SSL安全协议,保护数据的传输安全。基本概念web服务器软件:在web网站上提供网页服务器服务器程序动态web网站:区别与传统的静态网站,网站内容能动态更新,经常变化。常见的新闻网站,论坛,电子商务网站都是动态web网站。动态web网站经典组合操作系统+
linuxweb服务器配置(一)
冰树之家
04-12 1461
现在在Internet上最热门的服务之一就是WWW(World Wide Web)服务。如果你想通过主页向世界介绍自己或自己的公司,就必须将主页放在一个WEB上,当然你可以使用一些免费的主页空间来发布。但是如果你有条件,你可以注册一个域名,申请一个IP地址,然后让你的ISP将这个IP地址解析到你的LINUX主机上。然后,在LINUX主机上架设一个WEB。你就可以将主页存放在这个自己的WEB上,通过
通过Selinux强化Web服务器安全
Web服务器安全保护Web应用程序免受各种安全威胁的重要组成部分。随着Web应用程序的不断发展,攻击者利用漏洞进行恶意攻击的风险也随之增加。因此,确保Web服务器安全性至关重要。 Web服务器安全性包括对敏感...
利用Iptables与Selinux实现Web服务器安全
本文旨在介绍如何利用 Iptables 与 Selinux 实现 Web 服务器安全,通过对 Iptables 与 Selinux 的基本原理与配置进行讲解,帮助读者全面了解如何利用这两个工具来提升 Web 服务器安全性。 ## 1.2 Web 服务器安全...
Linux服务器安全加固:深入了解Selinux安全机制
本文旨在深入探讨 SELinux 的工作原理、配置方法以及实际应用,帮助读者更好地了解和利用 SELinux 来加固服务器安全。 ## 本文的研究方法和结构 本文将分为如下几个章节展开讨论: 1. Linux服务器安全概述:介绍...
linux web服务器安全配置,linux – 这些防火墙设置对于Ubuntu Web服务器是否足够安全?...
weixin_39933414的博客
04-29 146
我正在使用iptables设置防火墙.这是我第一次尝试这样的事情.到目前为止,我有以下规则:# Clear any previous entries--flush--delete-chain# Set the default policies for all three default chains-P INPUT DROP-P FORWARD DROP-P OUTPUT ACCEPT# Enab...
搭建web服务器SElinux策略保护 SElinux修改默认端口 安全web服务
weixin_33911824的博客
11-08 308
搭建web服务器SElinux策略保护 方式:参照标准目录,重设新目录的属性。 chcon -R --reference=标准目录 新目录 安全上下文(标签) 例: chcon -R --reference=/var/www/ /webroot 使用自定web更目录 1.修改配置文件/etc/httpd/conf.d/haha.conf ...
linuxweb服务器配置,Linux Web服务器配置详解
weixin_31313019的博客
05-05 1568
Linux Web服务器配置详解Apache是Linux下的Web服务器,Apache用的是静态页面,需要加载模块来支持动态页面,会动态实时的调整进程来处理,最合理的使用多核CPU资源,支持虚拟主机应用,多个Web站点共享一个IP地址。安装Web服务先安装Web服务,通过命令yum groupinstall命令进行安装,建议用groupinstall而不用Install是因为groupinstal...
Linux集群教程】13 集群安全防御 - SELinux 功能
Dragon的博客
10-21 1127
SELinux 是一套基于令牌的访问控制。SELinux 中的主体要想访问客体,必须要使用令牌,令牌匹配成功时候才能允许访问,而令牌匹配不成功那么就不允许访问。在 SELinux 中令牌,是叫做安全上下文。所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。在SELinux中, 访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等,资源)和主体(进程,要求资源)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户、角色和类型标识符。
linux 80 httpd,SElinux配置httpd
weixin_31139479的博客
05-27 687
一、启用SELinux策略并安装httpd服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,使网站可访问1、修改selinux策略并重启[root@localhost ~]# vim /etc/selinux/config# This file controls the state of SELinux on the system.# SELINUX= can take...
Linux网络安全篇,进入SELinux的世界(二)
愿你饱经冷暖,仍保纯真
11-04 247
一、简单的网页制作 1.启动httpd服务 /etc/init.d/httpd start 2.编写首页网页文件 echo "hello,this is my first webPage" > /var/www/html/index.html 3.查看这个文件的权限与SELinux安全上下文数据 ll -Z /var/www/html/index.html -Z参数查看...
Linux 练习 - 安全加固SELinux
东方隐
06-24 415
1、启用 SELinux 策略并安装 httpd 服务,改变网站的默认主目录为 /website,添加 SELinux 文件标签规则,使网站可访问; # 安装 httpd [root@localhost ~]# yum install -y httpd # 创建 /website 及首页文件 [root@localhost ~]# mkdir /website [root@localhost ~]# echo selinux > /website/index.html # 修改 /website
Linux Web站点目录以及文件的安全权限设置
白糕茶的博客
10-28 6348
1、假如web服务器是apache,那么用户访问web页面的时候,就是通过apache服务(httpd)的所有者的身份进行访问,所以要将 apache也就是httpd服务的所有者和所有组设为apache或者自定用户,不要用root,这个一般安装的时候就会有默认设置(或者修改apache配置文件的User和Group项)。 2、网站程序的所有者不要和apache服务的所有者一样,如果一样就相当于给了...
linux配置selinux为许可模式,SELinux安全配置,详细说明
weixin_39883670的博客
05-13 698
SELinux之一:SELinux基本概念及基本配置2013年06月29日 ⁄ Linux管理, 网络安全 ⁄ 共 7741字 ⁄ 暂无评论 ⁄ 被围观 13,281views+SELinux从出现至今,已经走过将近13年历史,然而在Linux相关QQ技术群或者Linux相关论坛,经常有人遇到问题问题都归咎与SELinux,如httpd各项配置都正常,但客户就是无法访问;又比如vsftpd配置均正...
开启与管理SELinux以增强Linux服务器安全
9. **服务配置文件的SELinux上下文**:Apache的配置文件可能需要正确的安全上下文才能被允许读取和执行,小张需要检查并修复这些问题。 通过深入学习这些概念和实践操作,小张将能够成功地在服务器上启用SELinux,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值