20170317--权限控制,selinux

最新推荐文章于 2024-08-15 09:47:08 发布
最新推荐文章于 2024-08-15 09:47:08 发布
阅读量82 收藏
点赞数
文章标签: python 运维 系统安全
原文链接:https://my.oschina.net/liubaizi/blog/863139
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

155921_V8kC_2918364.png

 

磁盘配额 quota:

155716_36F7_2918364.png

              quotaoff

 

155858_PUxs_2918364.png

selinux  :  /etc/selinux/config  --增强系统安全的软件

 permissive ---警告模式

 enforcing    --允许

 disable       ---禁止 //这种模式切换到其他模式后,必须重启系统才能生效

 

 

selinux 的安全上下文 一般常用

1.文件安全上下文--file context

2.端口安全上下文--port context

3.布尔值  --boolean

4.

161747_0llC_2918364.png

 

selinux 在appache中的策略

162239_LD4v_2918364.png

安全上下文的文件

162604_jx27_2918364.png

修改安全上下问的权限 chcon

162729_bzEO_2918364.png

重启系统里的所有安全上下文163104_iynz_2918364.png

让修改的安全上下文永久生效

163559_7sgN_2918364.png

 

 

164059_HSoc_2918364.png

用selinux监听端口

164616_aw2l_2918364.png

 

总结

165031_8Wsj_2918364.png

 

165300_poe9_2918364.png

在apache的配置文件中,将cgi禁止掉

165135_QHg0_2918364.png

在selinux中用boolean 值设置关掉cgi

方法一:

165643_EnER_2918364.png

方法二:

165825_b2JS_2918364.png

 

selinux开启后,4种方法解决平时遇到的问题

1.file context

2.port context

3.boolean

ls -Z
ps -efZ
id -Z

105946_GGcG_2918364.png

110004_o7Y1_2918364.png

110045_L3HM_2918364.png

110116_UiTS_2918364.png

 

4.setroubleshoot

105631_VMGW_2918364.png

selinux 的几种使用方法

man -k selinux | grep http
  2 man -k selinux | grep ftp
  3 
  4 
  5 [root@rh5 policy]# 1. chcon
  6 [root@rh5 policy]#    restorecon
  7 [root@rh5 policy]#    touch /.autorelabel
  8 [root@rh5 policy]#      reboot
  9 [root@rh5 policy]#
 10 [root@rh5 policy]#    eg:
 11 [root@rh5 policy]#    semanage fcontext -a -t httpd_sys_content_t "/www(/.*)    ?"
 12 [root@rh5 policy]#    restorecon /www -R
 13 [root@rh5 policy]#
 14                     Port context:
 15 [root@rh5 policy]#    semanage port -a -t http_port_t -p tcp 82
 16 
 17 [root@rh5 policy]# 2. bool
 18 [root@rh5 policy]#    getsebool -a | grep http | grep cgi
 19 httpd_enable_cgi --> on
 20 [root@rh5 policy]#    setsebool -P httpd_enable_cgi on
 21 [root@rh5 policy]#
 22 [root@rh5 policy]# 3. setroubleshoot-server
[root@rh5 policy]# 3. setroubleshoot-server
 23 [root@rh5 policy]#    yum install setroubleshoot{,-server,-plugins} -y
 24 [root@rh5 policy]#    /etc/init.d/auditd restart
 25 [root@rh5 policy]#    /etc/init.d/rsyslog restart
 26 [root@rh5 policy]#    ...
 27 [root@rh5 policy]#    vim /var/log/messages
 28 [root@rh5 policy]#    grep AVC /var/log/audit/audit.log | sedispatch
 29 [root@rh5 policy]#    vim /var/log/messages
 30 [root@rh5 policy]#
 31 [root@rh5 policy]#    sealert -l XXXXXX
 32 [root@rh5 policy]#    sealert -f XXXXXX
 33 [root@rh5 policy]#
 34 [root@rh5 policy]# 4. audit2allow
 35 [root@rh5 policy]#
 36 [root@rh5 policy]#    yum install policycoreutils-python -y
 37 [root@rh5 policy]#    audit2allow -a -l
 38 [root@rh5 policy]#    cd /etc/selinux/targeted/policy/
 39 [root@rh5 policy]#    audit2allow -a -l -M <NAME>
 40 [root@rh5 policy]#    semodule -i <NAME>.pp
 

 # semanage fcontext -a -t public_content_rw_t /var/ftp/pub
 # restorecon -R -v /var/ftp/pub
 # setsebool -P allow_ftpd_anon_write 1

 

 

转载于:https://my.oschina.net/liubaizi/blog/863139

weixin_33910759
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全与主机基本防护:限制端口、网络升级与SELinux
qq_34983808的博客
09-11 644
Linux内建的2个防火墙机制(第1、2层过滤): 1:封包过滤式的netfilter防火墙 2:软件管控的TCP Wrappers防火墙========================================封包过滤防火墙:IP Filtering或Net Filter Net Filter就是iptables这个软件所提供的防火墙功能 封包过滤:分析TCP/IP的封包表头来进行过
SELinux权限
Kian_G 的博客
03-30 5712
SELinux权限 SELinux简介 SELinux是2.6版本Linux内核中提供的强制访问控制系统,selinux默认配置在/etc/sysconfig/selinux。 默认有三种级别 enforcing Linux下 selinux所设置的安全策略都会被启用.所有与selinux安全策略有关的服务或者程序都会被策略阻止.也就是,所有操作都会进行权限检查。 permissi...
Linux进阶篇--SElinux
天空飘过的鱼的博客
09-09 518
Linux进阶篇–SElinux 本章概要 * SELinux概念 * 启用SELinux * 管理文件安全标签 * 管理端口标签 * 管理SELinux布尔值开关 * 管理日志 * 查看SELinux帮助 SElinux介绍 * SELinux: Secure Enhanced Linux, 是美国国家安全局(NSA=The National Security Agenc...
SELinux 权限
fmc088的博客
04-19 686
权限修改方法1: adb在线修改seLinux Enforcing(表示已打开),Permissive(表示已关闭)-放宽意思 getenforce; //获取当前seLinux状态 setenforce 1; //打开seLinux setenforce 0; //关闭seLinux这样操作的话,重新启动恢复之前的状态。方法2: 从kernel中...
container-selinux-2.74-1.el7.noarch.rar
03-03
1. 首先,解压下载的`container-selinux-2.74-1.el7.noarch.rar`压缩包,获取到`container-selinux-2.74-1.el7.noarch.rpm`文件。 2. 接着,在终端中使用`rpm`命令进行离线安装,命令如下: ```bash rpm -ivh ...
selinux-example_SELinux_
09-28
SELinux的核心理念是将权限分配给进程而不是用户,从而实现更细粒度的权限控制。 **一、SELinux的工作原理** SELinux基于策略与执行的分离原则。策略部分定义了系统中的安全规则,而执行部分则负责实施这些规则。...
container-selinux-2.9-4.el7.noarch.zip
08-06
标题 "container-selinux-2.9-4.el7.noarch.zip" 提供的信息表明,这是一个包含 SELinux 安装包的压缩文件,版本为 2.9-4,适用于 EL7(即 CentOS 7)操作系统,并且是适用于非架构特定的 RPM 包(noarch.rpm),...
docker-selinux
05-05
6. **安全容器实践**:为了确保最佳的安全实践,开发者和运维人员应了解如何在 Dockerfile 中指定正确的 SELinux 类型,以及如何在部署时使用 `--selinux-enabled` 参数启动 Docker daemon。 7. **调试与日志**:当...
GraphRAG:复杂查询的知识图谱新框架
YeJuliaLi的博客
08-14 575
微软最近发布了名为 GraphRAG(Graphs + Retrieval Augmented Generation)的创新 RAG 框架,这是一个将文本提取、语义网络分析,与大语言模型(LLM)的提示和总结功能结合在一起的端到端系统,用于深入理解文本数据集。在对私有数据中的复杂文本信息进行文档分析时,GrahRAG 使用 LLM 生成的知识图谱来大幅提高问答性能。这里的私有数据集是指 LLM 没...
网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了。
2401_84466359的博客
08-12 518
这个方向更符合于大部分人对“黑客”的认知,他们能够黑手机、黑电脑、黑网站、黑服务器、黑内网,万物皆可黑(当然是要有授权的,不然进橘子我可不管),这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
importlib库介绍
m0_51579041的博客
08-14 193
importlib
Java读写EM4305卡、将4305卡制做成4100ID卡
zhangjin7422的专栏
08-14 367
Java读写em4305低频RFID源码,支持将EM4305卡配置成4100ID卡
【Markdown】Markdown 中的语言简称
EleganceJiaBao的博客
08-12 927
以下是常见编程语言、脚本语言、标记语言等在 Markdown 中的语言简称以及相应的示例:
Pythonpython中抽象类学习笔记
qq_42761751的博客
08-12 400
抽象类是一个不能被实例化的类,通常作为其他类的基类抽象方法是一个没有具体实现的方法一个抽象类可以有或者没有抽象方法, 但是一般来说定义抽象类的时候总会在类中定义抽象方法Python并没有直接支持抽象类,但是提供了一个模块(abc)来允许定义抽象类通过继承abc.ABC类定义一个抽象类pass上述代码中类虽然继承了ABC但是没有定义抽象方法,仍然可以被实例化。"""使用@abstractmethod来定义抽象方法"""passmain()代码报错:不能实例化一个带有抽象方法的抽象类。
SciPy:基于 NumPy 的算法库和数学工具包,用于数学、科学和工程领域。
最新发布
LS_Ai的博客
08-15 736
无论是进行线性代数运算、优化问题求解、积分与微分方程处理,还是进行信号和图像处理,SciPy都提供了高度优化的工具,使得复杂的科学计算任务变得更加简单和高效。SciPy的目标是为用户提供一个全面的科学计算环境,其中涵盖了常见的线性代数、优化、积分、插值、傅里叶变换、信号处理、统计、图像处理、以及ODE(常微分方程)求解等功能。SciPy与NumPy紧密结合,同时也与Pandas、Matplotlib等库有很好的兼容性,这使得它在科学研究、数据分析和工程计算中占据了重要地位。
pyinstaller 关于打包路径的总结
m0_73527922的博客
08-12 172
意思是bai.txt文件必须放在当前目录下。其实不管是运行py文件还是exe文件,运行谁就将该文件放在谁的当前目录下即可。exe文件的相对路径:相对于exe文件所在目录的相对路径。py文件的相对路径:相对于py文件所在目录的相对路径。如图:将bai.txt文件拷贝至exe文件所在目录。程序中下面代码是相对路径。
利用python写一个可视化的界面
huanghm88的专栏
08-08 3897
这段代码创建了一个窗口,并在窗口中添加了一个标签和一个按钮。当按钮被点击时,标签的文本会变成"Hello, World!你可以根据自己的需求修改窗口的布局和添加其他控件。要利用Python编写一个可视化界面,你可以使用一些图形库来实现,例如Tkinter、PyQt、wxPython等。
ECMAScript6中的模块:export导出、import导入
pan_junbiao的博客
08-12 862
早期的 JavaScript 程序很小,通常被用来执行独立的脚本任务,在 Web 页面中需要的地方提供一定的交互。随着 Web 应用程序变得越来越复杂,有必要考虑提供一种将 JavaScript 程序拆分为可按需导入的单独模块的机制,这就是模块化编程。模块化编程就是将一个复杂的程序根据一定的规则封装成一个或多个文件,并组合在一起。使用这种方式,可以将代码分解到多个文件中,每个文件都称为一个模块。一个模块通常是一个类或者多个函数组成的方法库。
openstack-selinux
05-13
OpenStack-selinux是一个OpenStack项目,它提供了安全增强的SELinux策略,以保护OpenStack云环境中的敏感数据和服务。...OpenStack-selinux使用了强制访问控制(MAC)来加强OpenStack组件的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值