centos selinux_Selinux详解1上下文的理解

最新推荐文章于 2024-03-04 23:28:32 发布
最新推荐文章于 2024-03-04 23:28:32 发布
阅读量346 收藏
点赞数
文章标签: centos selinux xx是一个类型 这在给定的上下文

selinux介绍

在windows下如果安装了一些安全软件的话,当我们执行某个命令之后,如果此安全软件认为这个命令对系统是一种危害,则会阻止这个命令继续运行。比如在powershell里创建一个用户 net user tom /add,安全软件会认为这个操作是不安全的,然后会阻止:332f2d98678957626d6ff00fbfb676f1.png
同理,在rhel/centos里的selinux实现的是类似的功能,selinux全称是Security-Enhanced Linux,目的是提高系统的安全性。当我们执行某个操作的时候如果selinux认为此操作有危险,则会拒绝进一步的访问。

了解上下文

在开启了selinux的情况下,selinux会为每个文件、每个进程都分配一个标签,这个标签我们称之为上下文(context),后续说标签和上下文是同一个概念,查看上下文时需要加上Z选项。比如查看进程的上下文:389088ac9c70e884258d4a0f0f9408d9.png
这里可以看到httpd的上下文为httpd_t。
查看文件的上下文:9f4b4105847ccf4b33da42fe53ce58bd.png
这里可以到/var/www/html/的上下文为httpd_sys_content_t。
特定上下文的进程,只能访问特点上下文的文件,如下图:2861ab30bc4053cdc8be070f5f6dbc30.png
假设一个进程xx的标签是aa-p,它能访问标签为aa-f的文件,所以xx进程访问文件aa是没问题的,因为标签匹配了。但是进程xx访问文件bb的时候却是访问不了的,即使bb文件的权限为777也是访问不了的,因为文件bb的标签是bb-f。

下面我们来做一个测试:
在server上创建目录/web/www,并写一些测试数据到/web/www/index.html里:1fbf3ed78b4487b0a63aff5ea574b75f.png
查看/web/www的上下文:3df4b5e4bac9a88b5c27ddcec71dafb8.png
可以看到上下文为default_t。

把/web/www软连接到/var/www/html/www,如下:7f8940ed2ea32284e6bb52fd40e4c447.png
当我们在地址栏里输入192.168.26.100/www时,其实访问的是/web/www里的内容。
确保httpd服务是运行的:e4f7a64f06600440749aafb349a8b45c.png
并确保防火墙放行了http服务:f69fdd9bf228aee2801edb9fbf4ec717.png
现在客户端上访问此内容:c1061a1e922e1d7f6ca6412608c56ea3.png
发现是访问是被拒绝的,我们来分析一下原因:
当客户端在浏览器地址栏输入192.168.26.100/www连接到服务器的时候,服务器会有一个httpd进程来“接待”这个客户端的连接请求,然后httpd根据用户的请求去访问目录/web/www,如下图:06da7fbe823d09dc771415e294e8f979.png
前面已经看到httpd进程的上下文是httpd_t,/web/www的上下文是default_t,这两个是不匹配的,所以进程httpd访问目录/web/www时被拒绝。但是httpd进程是可以正常访问/var/www/html的(上下文为httpd_sys_content_t),考虑如果把/web/www的上下文改成httpd_sys_content_t是不是就可以使得进程httpd能访问了呢?
改变上下文的命令:   chcon -R -t 上下文 目录,这里选项R的意思是递归。
把/web/www上下文改成httpd_sys_content_t:f6fa120f798505fa64319f36eb1cdf16.png
在浏览器里再次方式试试:b1db62f47e2303ec9197ca2e605b9b3c.png
是可以正常访问的了。如果要恢复目录的默认上下文可以用92aa58af75c2872c6fda4f6fc53a10d8.png
此时浏览器里又是被拒绝。
如果想修改默认上下文:6775e412b5620adf732ee84c7b60b7d2.png
请思考一下最后的"/web/www(/.)?" ,这里正则是什么意思呢。1ab06749f6bb5de89a8ed25dc4610c16.png可以看到此时已经修改了默认的上下文。如果要是想删除默认上下文的话,把上面命令的-a换成-d即可:
semanage fcontext -d -t httpd_sys_content_t "/web/www(/.)?"

课程培训咨询,微信扫码:

4a9bbcdf7be887c933cfff1699b6b012.png

weixin_39714383
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Selinux安全上下文详解
weixin_34257076的博客
11-22 1854
SELinux介绍DAC:自由访问控制MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将...
CentOSSELinux
weixin_33973600的博客
12-17 77
CentOS 6.3中SELinux是默认启用的,这样要提供Samba、FTP、WWW等服务时,有时就会受到阻止。网上有人说,用setenforce 0来“禁止”SELinux,这样的方法实在不可取。正确的办法是正确赋权限。 下面内容来自http://m78.me/samba_problem_cause_by_selinux 开启Samba用户HOME目录权限 /u...
java上下文理解
jzd2752258的专栏
04-01 1220
上下文即ServletContext,是一个全局的储存信息的空间,服务器启动,其就存在,服务器关闭,其才释放。 所有用户共用一个ServletContext。所以,为了节省空间,提高效率,ServletContext中,要放必须的、重要的、所有用户需要共享的线程又是安全的一些信息。如,做一个购物类的网站,要从数据库中提取物品信息,如果用session保存这些物品信息,每个用户都访问一便数据库,效率
CentOSSELinux简单介绍
weixin_33798152的博客
11-09 734
SELinux:Security-EnhancedLinux,是美国国家安全局(NSA)基于“域-类型”模型(domain-type)的强制访问控制(MAC)的实现。在这种访问控制体系的限制下,进程只能访问那些在它的任务中所需要地文件。SELinux在2.6版本及之后的Linux内核中提供,并工作于Linux内核中。SELinux类型强制服务器中合并了...
Centos系统 上下文切换的检查思路
weixin_30396699的博客
08-15 160
1.什么是上下文切换(Context Switch)? 上下文切换,有时也称做进程切换或任务切换,是指CPU从一个进程或线程切换到另一个进程或线程。 操作系统可以同时运行多个进程, 然而一颗CPU同时只能执行一项任务,操作系统利用时间片轮转的方式,让用户感觉这些任务正在同时进行。 CPU给每个任务都服务一定的时间, 然后把当前任务的状态保存下来, 在加载下一任务的状态后, 继续服务下一任务。任...
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
12-16
如日志中建议的,可以通过运行以下命令恢复文件的默认安全上下文: ``` # /sbin/restorecon -v /data/mongodb/run/mongod.pid ``` 这将使`/data/mongodb/run/mongod.pid` 文件恢复到其应有的默认类型(如`...
centos7重置密码.docx
08-11
这个文件的创建是为了告诉SELinux系统需要重新标记文件的安全上下文。如果不创建这个文件,可能会导致系统某些功能出现问题。 6. **重启系统** 完成以上步骤后,可以使用`exit`命令退出`chroot`环境,然后使用`...
Centos7重置密码.txt
04-25
#### 步骤七:处理SELinux安全上下文 由于修改了文件系统的状态,可能会影响到SELinux的安全策略。为了避免启动时出现问题,可以创建一个临时文件来标记系统的自动重新标记请求。执行以下命令: ``` touch /....
CentOS SSH无密码登录的配置
09-15
如果权限无误但问题依然存在,可能是SELinux上下文不正确。可以运行`ls -laZ`检查`.ssh`目录的上下文,如非`ssh_home_t`,使用`restorecon -r -vv /root/.ssh`恢复正确的上下文。 3. **日志分析**: 查看`/var/...
CentOS7 最小化安装初始化.md
09-12
这部分脚本虽然未完全展示,但根据上下文推测,其目的是为了记录用户的操作历史,这有助于系统管理员追踪用户的活动。 总结:通过上述步骤,我们能够确保 CentOS 7 系统在最小化安装后得到合理的初始化配置。这不仅...
CentOS Linux SELinux 安全上下文错误引起的宕机故障
learndiary的博客
03-13 6568
在某些情况下,我们会用一些外部的文件复制替换系统中原有的文件,如文件损坏,或者安装了错误版本的软件、或者怀疑原文件被替换成含病毒的版本等。这里以 VirtualBox 虚拟机中的 CentOS 7 为例,演示的是在启用 SELinux 的情况下,错误的复制替换系统中 /lib64/libc-2.17.so 造成的宕机故障及修复。视频演示地址:https://www.bilibili.com/video/BV1vL4y1u7CU?share_source=copy_web
Linux 运维:CentOS/RHEL防火墙和selinux设置
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-04 1万+
Linux 运维:CentOS/RHEL防火墙和selinux设置
30. SELinux
enlyhua的专栏
03-15 278
SELinux (Security Enhanced Linux),安全强化的 Linux 。 其实 SELinux 是在进行持、文件等权限设置依据的一个内核模块。由于启动网络的也是持续, 因此刚好也是能够控制网络服务能否访问系统资源的一道光卡。传统的文件权限与账号关系:自主访问控制,DAC : 各种权限设置对 root 无效。因此当某个进程想要对文件进行访问时,系统会依据该进程的所有者/用户
CentOS 下设置 SELinux 安全上下文
weixin_34343689的博客
11-08 753
作用: chcon 命令用来改变 SELinux 文件属性即修改文件的安全上下文 用法: chcon [ 选项 ] CONTEXT 文件 选项: -R:递归改变文件和目录的上下文。 --reference:从源文件向目标文件复制安全上下文 -h, --no-dereference:影响目标链接。 -v, --verbose:输出对每个检查文件的诊断。 -u, --user=USER:设置在目标用户...
Linux上下文切换监控
scdxmoe的专栏
05-03 2279
http://www.kuqin.com/shuoit/20160414/351556.html  我们在监测Linux的应用的时候,当CPU的利用率非常高,但是系统的性能却上不去的时候,不妨监控一下线程/进程的切换,看看是不是context switching导致的overhead过高。 一般我使用dstat工具用来监控,比如dstat -y:  
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 1894
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root root system_.
linux7 selinux策略,centos7 selinux
weixin_33345697的博客
05-16 492
selinuxSELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全。DAC 自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,...
CentOS7】selinux介绍及案例详解
野生Java小菜鸟的博客
02-03 3298
setenforce是Linux的selinux防火墙配置命令 〇、简介: SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。 我们在命
centos禁用exec_centos:开启和关闭selinux
06-01
1. 编辑SELinux配置文件 /etc/selinux/config,将SELINUX的值改为disabled。如下所示: ``` SELINUX=disabled ``` 2. 重新启动系统。 如果要开启 SELinux,则可以将SELINUX的值更改为enforcing或permissive。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值