linux selinux

最新推荐文章于 2024-04-10 17:35:40 发布
最新推荐文章于 2024-04-10 17:35:40 发布
阅读量374 收藏
点赞数
分类专栏: linux基础学习 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41708548/article/details/104433032
版权

目录

selinux介绍

selinux(security-enhanced linux):安全增强型linux,是一个内核级加强型火墙

selinux功能

1.当selinux开启会给系统中的每一个文件和每一个程序加载安全上下文,特定安全上下文的程序只能访问特定安全上下文的文件。
2.当selinux开启会对服务本身相对不安全的功能加载开关sebool,并且设定开关为关闭状态以保证服务安全性。当需要此功能时需要超级用户手动调节。
实验:对比两次操作,思考selinux作用
(1)当selinux关闭时
在虚拟机1中新建文件redhattestfile放入ftp软件中可以被访问,文件redhattestfile和vsftpd服务的安全上下文都为空。
在这里插入图片描述
此时还可以上传文件
在这里插入图片描述
(2)开启虚拟机1的selinux功能
在这里插入图片描述
在这里插入图片描述
注意:此时selinux正在给文件和程序贴标签,这个过程的快慢程度和硬件有很大关系。
在这里插入图片描述
(3)当selinux开启时
public_content_t:表示可以看到
mnt_t:表示不能看到
在虚拟机1中将/mnt/redhatlinuxfile挪到/var/ftp文件夹下之后,文件redhatlinuxfile就看不到了,但文件是实际存在的(特定安全上下文的程序只能访问特定安全上下文的文件,否则服务会被拒绝)。
在这里插入图片描述
从另一个角度:selinux对程序功能的本身也有影响
在虚拟机1中开启上传功能
在这里插入图片描述
在这里插入图片描述
别忘了同时更改权限
在这里插入图片描述
登录虚拟机1自身的ftp系统,尝试上传文件,本应上传成功却上传失败。
在这里插入图片描述
原因就在这里:selinux给匿名用户写功能加了一个开关
在这里插入图片描述

selinux状态

1.查看selinux状态: getenforce

状态类型含义
disabled关闭
enforcing强制
permissive警告

在这里插入图片描述
2.设置selinux状态(临时): setenforce 0|1 (0表示警告模式,1表示强制模式)
在这里插入图片描述
3.设置selinux状态(永久):
vim /etc/sysconfig/selinux
SELINUX=要设定selinux的状态
注意:
当disabled<---->enforcing|permissive时,需要重启系统。
在这里插入图片描述
在这里插入图片描述

安全上下文

1.安全上下文的临时更改(重启会失效)
chcon -t 安全上下文 文件
chcon -R -t 安全上下文 目录
例如:chcon -t public_content_t /var/ftp/redhatlinuxfile
在这里插入图片描述
另外,我们测试一下这个设定会不会重启后消失。
在这里插入图片描述
在这里插入图片描述
将selinux设为关闭后重启
在这里插入图片描述
重新将selinux设为开启状态
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发现重启电脑,还原selinux之后,chcon设定又还原了,表明chcon设定是临时的。
在这里插入图片描述
2.永久更改安全上下文
(1)semanage fcontext -l | grep /ftpuserdir:查看安全上下文列表信息
(2)semanage fcontext -a -t public_content_t /ftpuserdir:只对目录本身生效
或semanage fcontext-a -t public_content_t /ftpuserdir’(/.*)?’:只添加安全上下文列表信息,当前不生效。(高亮处表示目录中将要出现的内容)
(3)restorecon -RvvF /ftpuserdir/:刷新安全上下文,刷新之后才有效。(-R表示递归,-v表示详细,-vv非常详细,-F表示刷新)
实验:
在虚拟机1中将/ftpuserdir目录及其下文件设定安全上下文,发现安全上下文列表出现此目录信息,使用restorecon命令刷新后,安全上下文发生了变化。
在这里插入图片描述
在这里插入图片描述

sebool

sebool:selinux对服务功能添加的开关
getsebool -a | grep ftp:查看ftp的功能开关
setsebool -P ftp_anon_write=1| on:开启匿名用户写的功能(-P表示永久设定)
实验:
实验前:无法上传文件
在这里插入图片描述
(1)排除权限的影响
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
(2)排除安全上下文的影响
在这里插入图片描述
(3)开启匿名用户写的开关
在这里插入图片描述
(4)测试
再次匿名登录系统,上传文件,发现成功。
在这里插入图片描述

setrouble

使用setroubleshoot分析日志并提供解决方案
(1)yum install setroubleshoot-server-3.3.19-1.el8.x86_64 -y
(2)sealert -a /var/log/audit/audit.log
实验:
(1)使用setroubleshoot之前,可以发现/var/log/messages中没有相应的信息,而在/var/log/audit/audit.log这个日志中存放与selinux有关的信息。
在这里插入图片描述
(2)使用setroubleshoot软件包中的sealert来分析日志
在这里插入图片描述
在这里插入图片描述

L*YUEYUE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux系列(二)——SELinux有什么作用
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 1087
我们知道,传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统中的安全增强功能模块,它通过对进程和文件资源采用 MAC(强制访问控制方式)为 Linux 系统提供了改进的安全性。 需要注意的是,SELinux 的 MAC 并不会完全取代 DAC,恰恰相反,对于 Linux 系统安全来说,它是一个额外的安全层,换句话说,当使用 SELinux 时,DAC 仍然被使用,且会首先被使用,如果允许访问,再使用 SELinux 策略;反之,如果 DAC .
LinuxSELinux的介绍以及用法
小橙子的笔记屋
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
LinuxSELinux功能
Junzizhiai的博客
11-07 269
一、什么是SELinux SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的 任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise L...
selinux的主要作用
weixin_52626887的博客
09-04 4051
selinux的主要作用
SELinux简介与主要作用
粗浅的入门功夫
06-27 4676
SELinux,Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统 Linux 操作系统的安全性,解决传统 Linux 系统中自主访问控制(DAC)系统中的各种权限问题(如 root 权限过高等)。 传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统中的安全增强功能模块,它通过对进程和文件资源采用 MAC(强制访问控制方式)为 Linux 系统提供了改进的安全性。 SELinux 的 MAC 并不
SELinux角色的用途
wjyph的博客
07-14 2347
我们知道进程的上下文定义了进程被允许的行为。作为进程域转换的部分,上下文可以被改变。这种访问控制被称为类型强制(type enforcement),但是SELinux不仅仅是这些,包含SELinux角色… SELinux用户域 来查看下普通linux用户的上下文: user $id uid=1000(swift)gid=100(users) groups=100(users),16(cron
Linux SElinux
weixin_42566251的博客
05-09 183
一、基本selinux安全性概念 selinux(安全增强型linux):内核级的加强形火墙,内核上的插件,改变后要重启。 selinux是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限标签(控制哪些用户对哪些文件具有哪些访问权,selinux的另一个不同之处在于,若要访问文件必须具有普...
LInuxSELinux
二十四桥明月夜
01-24 202
简介 SELinux: Secure Enhanced Linux,工作于Linux内核中 DAC:自主访问控制 【Linux自身的访问机制】 以tom用户,去访问text.txt文件,则该进程,就拥有tom用户权限,对mysql.cof,redix.cof文件的权限,及该进程,就能访问到tom权限内的所有文件 这种方式:违反最小权限法则【及:一个进程启动起来,需要访问5个资源,则就最多只能访问这5个资源权限】【SELinux就是解决这个问题的】 MAC:强制访问机制【SELinux使用的访
Linux selinux
07-27
Linux SELinux 是一种安全增强机制,可以限制应用程序、用户和服务对系统资源的访问,从而提高系统的安全性。它基于安全策略来实现资源访问控制,可以防止恶意应用程序和用户对系统资源的滥用,从而保护系统免受攻击...
linuxSElinux
06-09
SElinux是一种安全增强(Security-Enhanced)的Linux操作系统。它是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)系统,旨在提高Linux系统的安全性和可靠性。SElinux通过给每个进程和文件分配一个安全上...
linux selinux配置
11-11
以下是Linux SELinux配置的基本步骤: 1. 确认SELinux是否已安装并启用: ```bash sestatus ``` 2. 查看SELinux的工作模式: ```bash getenforce ``` 3. 修改SELinux配置文件/etc/selinux/config,将SELINUX=...
linux系统中selinux的简介与用法
热门推荐
jay_youth的博客
05-15 2万+
一.selinux的简介    1.什么是selinux:       selinux(security enhanced linux)安全增强型linux系统,它是一个linux内核模块,也是linux的一个安全子系统。       selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)    2.selinux有两个级别 强制和警告  setenforce  0|...
selinux管理
branden_jin的博客
08-22 371
一、什么是selinux selinux 内核级加强型防火墙 起到限制服务功能,限制服务访问两个功能(在使用lftp访问时体现) selinux作用: 1.限制程序访问,程序访问文件必须有匹配的上下文 2.限制程序功能,把程序不安全功能屏蔽 二、selinux的常用命令 1.selinux状态的查看 getenforce ##查看状态 selinux的状态有三种:...
selinux 的介绍
Dream wedding
05-03 239
selinuxlinux上最杰出的新安全子系统。它是一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在它的任务中所需要的文件。selinux 通过增强访问控制来限制用户程序访问的最低权限。在Linux里面所有文件和进程都有一个security context的,而selinux就是通过security context 的作用来控制文件和进程的控制;security context...
SELinux简介
最新发布
m0_71897505的博客
04-10 1117
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统(采用MAC机制)。 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。 自主访问控制(Discretionary Access Control,DAC)由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。 强制访问控制(mandatory ac
selinux的初级用法
qwefyjwww的博客
11-06 203
################# 1.selinux的作用 ################ selinux内核级加强型防火墙,是可以保护系统安全性的额外机制。 其通过检查安全上下文来限制访问 在服务端/mnt/目录下建立westos文件,并将westos移动到/var/ftp/pub/下 匿名登陆lftp服务,发现westos转移了过去 此时服务端selinux=disabled 编辑配置...
SElinux的解决方案
weixin_45629723的博客
11-14 468
selinux:内核级加强型防火墙 selinux( 安全增强型 Linux ) 是可以保护系统安全性的额外机制。 seliunx开关 更改selinux状态的配置文件 vim /etc/sysconfig/selinux 三种级别控制 SELINUX=enforcing ##强制级别 SELINUX=permissive ##警告级别 SELINUX=disabl...
selinux
腾飞FLY
12-28 222
selinux 对超级管理员有效安全加强型linux自主访问体制 :又大变小user         group           other        \                  |                  /                    file                  /        |            \          ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值