se linux ll-z,SELinux

最新推荐文章于 2022-12-21 13:55:47 发布
最新推荐文章于 2022-12-21 13:55:47 发布
阅读量414 收藏
点赞数
文章标签: se linux ll-z

一:SELinux概念

1: 简介

SELinux: Secure Enhanced Linux,是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中

特性:

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源(文件和端口)

默认情况下,没有被明确允许的行为将被拒绝

2:类型

查看: cat /etc/selinux/config

SELINUXTYPE=targeted minimum mls

目标进程被保护:保护本质上是让进程不可以为所欲为,在一定的范围下活动.

不在范围内的进程则不予管理

bVQKIV?w=721&h=183

3:targeted

SELinux:一切皆对象

安全上下文五个元素:

User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程

Role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r

Type:指定数据类型,规则中定义何种进程类型访问何种文件

Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0

Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy,c0-c1023共1024个分类,Target 策略不使用category

如:

system_u:object_r:admin_home_t:s0

bVQKJr?w=554&h=111

type:admin_home_t

根据文件类型可以下策略规定。

多服务公用:public_content_t

ll -Z 查看真实的类型

semanage fcontext -l 查看期望的安全上下文

bVQK3E?w=1152&h=151

二:SELinux策略

1:启动/禁用

SELinux的状态:

enforcing:强制,每一个受限的进程都必然受限

permissive:允许,每一个受限的进程违规操作不会被禁止,但会被记录于审计日志

disabled:禁用SELinux

相关命令:

getenforce:获取selinux当前状态查看:

sestatus 此命令查看的更清楚

setenforce 0|1

0: 设置为permissive

1: 设置为enforcing

此条命令是不可以设置为diabled

semanage fcontext -l 查看期望的安全上下文:

bVQLNh?w=554&h=367

配置文件:

/etc/selinux/config

SELinux策略转换及生效

1:enforcing->permissive

使用命令 setenforce 0

permissive---> enforcing

使用命令 setenforce 1

2: permissive或enforcing转换为disabled

需要在配置文件/etc/selinux/config中把 SELINUX=enforing 改为 SELINUX=disabled

并需要重启电脑,方可生效

3 disabled 转换为 permissive或enforcing

需要在配置文件/etc/selinux/config中把 SELINUX=disabled 改为 SELINUX=enforcing

并需要重启电脑,方可生效

bVQLNu?w=554&h=195

bVQLNv?w=554&h=129

2:管理文件标签

此节为rhce考题,需要好好掌握

改变文件标签:

chcon –t 文件标签 file

改变目录标签

chcon –Rt 文件标签 file

恢复文件标签至正常状态:

1)restorecon file

2)参考正常值:semanage fcontext –l

修改标签:chcon –t 文件标签 file

恢复目录的标签:

restorecon –R DIRECTORY

添加安全上下文:

相当于在安全上下文的库里面增加记录,restorecon恢复文件的标签,就是从参考库的标签,然后做相应的修改

semanage fcontext –a –t httpd_sys_content_t ‘/testdir(/.*)?’

三:管理端口标签

查看端口标签

semanage port –l 查看系统默认的端口与对应的应用

增加端口:

semanageport -a -t port_label-p tcp|udpPOR

bVQMsi?w=554&h=81

删除端口标签:

semanageport -d -t port_label-p tcp|udpPORT

semanage port -d -t http_port_t -p tcp 9527

bVQMs0?w=554&h=60

修改端口标签:

此端口要被定义过,没有被定义的标签不能被更改

bVQMtG?w=554&h=96

四:管理SELinux布尔值开关

查看:

semanage boolean –l

bVQMNM?w=554&h=169

更改

更改bool值(临时生效):

setbool httpd_enable_homedirs on 临时生效

永久更改存放

1为on

0为off

setbool –P httpd_enable_homedir=1

bVQMN0?w=554&h=24

bVQMN4?w=554&h=55

鲍老师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
se linux ll-z,selinux常用操作
weixin_42498206的博客
05-25 806
#selinux操作,操作系统centos7,系统selinux为打开状态。破坏selinux标签:# cp /var/log/messages /root/ //只需反复复制到不同的目录,selinux标签就变了 admin_home_t变成了var_log_t,如果系统不开启selinux,新复制的文件标签为空。# ll -Z /var/log/messages-rw-------. roo...
se linux ll-z,Linux selinux 基础
weixin_33441139的博客
05-25 205
一、SELinux简介SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。SELinux是一个安全体系结构,它通过LSM(LinuxSecurity Modules)框架被集成到Linux Kernel 2.6.x中。因为SEL...
se+linux+ll-z,selinux相关知识详解及实例讲解
weixin_29356805的博客
05-25 980
一。selinux相关知识html1.SELinux简介nodeSELinux是一个强制访问控制的安全模块,linux内核2.6版本后集成在内核pythonDAC:Discretionary Access Control自由访问控制linuxMAC:Mandatory Access Control 强制访问控制webDAC下进程是毫无束缚的centosMAC环境下策略的规则决定控制的严格程度缓存M...
se+linux+ll-z,SElinux
weixin_39553904的博客
05-25 252
概念Linux的一个强制访问控制的安全模块DAC:Discretionary Access Control 自由访问控制MAC:Mandatory Access Control 强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制的策略被用来定义被限制的进程能够使用那些资源(文件和端口)默认情况下,没有被明确允许的行为将被拒绝SELinux有四种...
se linux ll-z,Linux中的SELinux
weixin_36213934的博客
05-25 389
SElinux的前身是NSA(美国国家安全局)发起的一个项目。它的目的是将系统加固到可以达到军方级别。为什么NSA选择Linux呢?在目前市面上大多数操作系统都是商用闭源的,只有Linux是开源的,这样修改并加入这项功能就方便许多,而且没有版权纠纷。所以,现在selinux就成为了Linux内核的一部分。在了解selinux之间,我们需要知道DAC和CS的概念,它们是linux系统本身的安全机制。...
container-selinux2.9-4.rar
06-20
centos系统安装docker时常缺此安装包, 下载rpm安装包后执行命令: rpm -i container-selinux-2.9-4.el7.noarch.rpm 即可完成安装,再继续docker其他安装。
container-selinux-2.74-1.el7.noarch.rar
03-03
1. 首先,解压下载的`container-selinux-2.74-1.el7.noarch.rar`压缩包,获取到`container-selinux-2.74-1.el7.noarch.rpm`文件。 2. 接着,在终端中使用`rpm`命令进行离线安装,命令如下: ```bash rpm -ivh ...
Linux基础课件-SELinux运行模式.pptx
11-02
SELinux,全称为Security-Enhanced Linux,是一种强制访问控制(MAC)机制,旨在增强Linux操作系统的安全性。它通过定义严格的策略来限制进程对系统资源的访问,从而降低安全风险。SELinux有三种主要的运行模式: 1...
container-selinux-2.74-1.el7.noarch.rpm
12-02
解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm
RedHat Linux Shell常用命令(多数也适用于Unix和AIX)
weixin_30268921的博客
07-13 450
目的:通过对日常使用的一些Linux命令进行总结分享,希望能给大家一些帮助。说明:本文的命令都是在RedHat Linux下测试的,Unix和IBM AIX下的命令有所不同,具体查看 man page。如有错误,欢迎指正。 建议:读者在操作的过程中希望形成参考 man page的习惯,非常有用。1.# 表示权限用户(如:root),$ 表示普通用户 开机提示:Login:输入用户名 pass...
Linux常用命令总结A-Z
will的成长之路
01-28 3285
alias 添加别名,比如自定义简便的命令           alias cd1='cd ..' apt-get=advanced packaging tool get,适用于deb包管理式的操作系统,主要用于自动从互联网的软件仓库中搜索、安装、升级、卸载软件或操作系统;如           apt-get install synaptic    新立得           apt
系统运维-14-3-Selinux基础知识
拙能胜巧
01-05 336
0.基础知识准备:首先我们需要知道在selinux没有启用的状态下,系统执行的是DAC即自主访问控制,同时我们还需要知道MAC即强制访问控制的概念。   1.cat /etc/selinux/config查看selinux的配置文件,这里可以看到enforcing(非授权访问会受限制)  permissive(非授权访问不会受限制,但会在审计日志中进行记录)  disabled(关闭)三种可选...
Linux学习-93-SELinux安全上下文操作
时光
12-21 1670
Linux学习-93-SELinux安全上下文操作
linux ls和 ll 命令
热门推荐
cogizh
08-07 22万+
ll 命令列出的信息更加详细,有时间,是否可读写等信息 ll命令和ls -l命令结果区别: 上面结果说明: ll会列出该文件下的所有文件信息,包括隐藏的文件,而ls -l只列出显式文件,说明这两个命令还是不等同的! ls 只列出文件名或目录名 列表 ll -t 是降序, ll -t | tac 是升序 ll不是命令,是ls -l的别名 ls 命令可以说是l
Linux shell条件判断if中的-a到-z的意思
ChengYanan的博客
04-29 1308
[ -a FILE ]如果 FILE 存在则为真。 [ -b FILE ]如果 FILE 存在且是一个块特殊文件则为真。 [ -c FILE ] 如果 FILE 存在且是一个字特殊文件则为真。 [ -d FILE ] 如果 FILE 存在且是一个目录则为真。 [ -e FILE ] 如果 FILE 存在则为真。 [ -f FILE ] 如果 FILE 存在且是一个普通文件则为真。 [ -g FIL...
Linux中的强制访问控制Selinux
qq_34267076的博客
09-03 2746
(工作当中都是默认关闭的) SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) SELinux的作用
ll命令:查看文件的属性
winson_jason的专栏
08-26 2881
ll命令:查看文件的属性 功能:以长格式显示目标文件或目录的属性。 语法:ll [选项] 文件或目录 -h或--human-readable 和ls命令的-h一样,用"K","M","G"来显示文件和目录的大小。 -c 以更改时间排序,显示文件和目录 例: 1、查看两个文件的属性 linux@server:~$ ll /bin/ls grub -rw
linux 命令
lyhkook的博客
02-17 379
二、ll命令结果说明 drwxr-xr-x   2 root root 48 2013-11-27 16:34 test/ 第一个栏位,表示文件的属性。Linux的文件基本上分为三个属性:可读(r),可写(w),可执行(x)。 这里有十个格子可以添(具体程序实现时,实际上是十个bit位)。   第一个字母表示文件类型,         ”-”,普通文件.
ntainer-selinux-2.9
最新发布
05-30
ntainer-selinux-2.9是一个与Docker容器相关的安全性强制访问控制策略,目的是为了对Docker容器提供更强的安全性保护。你可以按照以下步骤安装并使用它: 1.首先,更新你的yum包: ```shell sudo yum update ``` 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值