selinux-加强型防火墙

最新推荐文章于 2022-02-17 12:05:06 发布
最新推荐文章于 2022-02-17 12:05:06 发布
阅读量253 收藏
点赞数
分类专栏: linux 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42195382/article/details/90032174
版权

yum search selinux
yum install setroubleshoot-server.x86_64 -y
selinux:内核插件,加强型防火墙
(1)配置文件:/etc/sysconfig/selinux
(2)三种状态:

enforcing 	//强制=1	setenforce=1
permissive 	//警告=0	setenforce=0
disabled 	//关闭

在这里插入图片描述
注:
enforcing与permissive相互切换:直接设置setenforce=0/1
enforcing / permissive与disabled相互切换:修改配置文件/etc/sysconfig/selinux,并reboot

(3)查看当前selinux的状态:getenforce

1.disabled与enforcing的区别:
移动文件到ftp的发布目录中:
在这里插入图片描述
(1)disabled:在这里插入图片描述
(2)enforcing:
在这里插入图片描述
对文件的影响:
(1)enforcing
在这里插入图片描述
(2)disabled
在这里插入图片描述

  • selinux给每个文件加上一个标签,标签匹配才能被访问;移动过去的文件,是一个重命名的过程,不改变文件标签,在强制级别enforcing中,标签不匹配,所以无法查看。

对功能的影响:
修该ftp配置文件,使匿名用户可以上传文件到/var/ftp/pub/下
在这里插入图片描述
在这里插入图片描述
(1)disabled
在这里插入图片描述
(2)enforcing
在这里插入图片描述
这也就是上一节我们需要在disabled下进行ftp实验的原因了。

2.怎么解决安全上下文(标签)不一致的问题:
在这里插入图片描述
(1)更改文件标签:将移进去的文件标签改成与发布目录一致即可

chcon -t public_content_t  filename

在这里插入图片描述
在这里插入图片描述
(2)当我们新建发布目录时:

mkdir /ftpdir
vim /etc/vsftpd/vsftpd.conf 
	anon_root=/ftpdir

在这里插入图片描述
在新的发布目录下创建文件,依旧无法查看:
在这里插入图片描述
更改新建的发布目录标签,并让其永久生效:

chcon -t public_content_t /ftpdir/ -R  	//临时指定,没有改变内核记录,
		//-->disabled重启-->enforcing重启,又变为默认default_t
		
semanage fcontext -a -t public_content_t '/ftpdir(/.*)?'	///内核设定,永久有效
restorecon -RvvF /ftpdir	//刷新
-a 添加
-t 指定类型

更改后刷新,可以看到类型的变化,然后再查看,发现标签已经改过来了,同时可以访问了
在这里插入图片描述
总结:

  • 默认发布目录:存在不相同的标签,可用chcon -t public_content_t进行更改,这个时永久生效的,因为他的上级目是public_content_t
  • 新建的发布目录:默认标签为default_t,用chcon -t public_content_t进行更改,不会永久生效,因为他的上级目录标签没有改过来,重启后又会变为原来的标签;使用semanage fcontext -a -t public_content_t ‘/ftpdir(/.*)?’ 更改改变了内核记录,永久有效,重启不会再变为原来的标签。

3.设置selinux为enforceing仍然可以上传文件
(1)匿名用户

chcon -t public_content_rw_t /var/ftp/pub/ 	//让匿名用户具有读写这个目录的权力
getsebool -a | grep ftp 		//查看ftp匿名用户能干的事情的状态为off还是on

在这里插入图片描述

setsebool -P ftpd_anon_write 1(on)让匿名用户可以上传

在这里插入图片描述
(2)本地用户
与匿名用户同样的道理
在这里插入图片描述
4.与selinux相关的两个日志

/var/log/messages 		//系统日志,提供一些解决方案 ,需要安装服务才能提供解决方案
/var/log/audit/audit.log 	//selinux真正的日志,不提供解决方案

(1)安装提供解决方案的软件:setroubleshoot

yum search selinux 
yum install setroubleshoot-server.x86_64 -y

在这里插入图片描述
往/var/ftp/pub/移动文件,匿名用户登陆查看不到,此时查看两个日志文件
在这里插入图片描述
(2)不装setroubleshoot软件时
在这里插入图片描述
在这里插入图片描述
注:做完实验记得把setroubleshoot装上

枝子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
weixin_34029680的博客
06-04 1171
SElinux共有3中状态。1、selinux的配置文件:/etc/selinux/config# This file controls the state of SELinux on the system.  3 # SELINUX= can take one of these three values:  4 #     enforcing - SELinux security policy ...
Linux-配置防火墙
匠心曲奇的博客
03-29 165
防火墙基本操作指令 //查询防火墙状态: [root@localhost ~]# service iptables status //停止防火墙: [root@localhost ~]# service iptables stop //启动防火墙: [root@localhost ~]# service iptables start //重启防火墙: [root@localhos...
SELinux权限问题
weixin_44808074的博客
02-17 1545
1.SELiunx audit2allow 2.permissive=1 拥有访问权限 permissive=0 没有访问权限
Android7.1添加开机启动服务程序关于Selinux权限问题说明
Venus 的博客
04-13 1272
当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作: 第一步,我们可以在init.rc中添加了如下代码行: service xxxx /system/bin/xxxx class main user root group root oneshot seclabel u:r:xxxx:s0 #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务 编译img后烧到机器,发现服务xxx无法启动,kernel log中有如下提示(例如这里新加的
Android权限 - avc权限问题
hanhan1016的专栏
05-05 4357
1.一般来说,如何确认是Selinux权限引起的问题? 通过命令adb shell getenforce,查看Selinux状态 adb shell getenforce Enforcing //1 Permissive //0 如果为Enforcing,则使用命令adb shell setenforce 0,设置成Permissive mode,如果设置成Permissive mode后没有问...
SELinux已经允许,为什么日志显示的仍然是denied?
weixin_30399821的博客
09-03 293
从日志可以看到,SELinux的Mode已经修改位了permissive = 1,也就是允许模式,但它前面的日志仍然显示的是“denied"。本来我还以为是自己哪里没弄好导致的这个问题,但访问了Gentoo wiki上面的介绍后才知道,它就是这样设计的。 资源: https://wiki.gentoo.org/wiki/Main_Page https:/...
Android——SELinux 权限简介
Yawn
06-23 2032
1. 问题 1.问题log E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0 I auditd : avc: denied { find } for service=display pid=3015 uid=1046
AVC 报错问题示例以及解决方案
Demon_xiaochunjie的博客
01-22 5546
问题:在一直移远4G三网投模块时,发送短信时信号消失。通过log 发现avc,然后通过同事沟通和指导,学到了如何快速修改验证此问题的方法。在此,记录一下我的学习和经验的积累过程;同时,也分享出来以供遇到类似问题的童鞋可以学习和解决自己的问题,
SEAndroid 问题解决
03-30 5368
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
selinux中Enforcing, Permissive 和Disable这三种模式的区别
热门推荐
weixin_40991510的博客
04-15 1万+
1、如果要马上拒绝运行SELinux: [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce Permissive 这条命令会把SELinux设定成Permissive模式,其中setenforce 1会把SELinux设定成Enforcing模式 2.把SELinux永久设定为Permissive模式 这里需要讲一下P...
Linux-防火墙
wangwei1110a的博客
12-06 900
文章目录Linux-防火墙一.防火墙简述1. 从<防护范围>进行分类2. 从<物理级别>上进行分类3. 从<功能逻辑>上进行分类4. 堡垒主机二.firewalld1、启动:firewall 防火墙服务2、了解:firewall 的规则文件3、了解:Zone 区域4、查看Linux-防火墙 一.防火墙简述 ​ 1. 从<防护范围>进行分类 ## ★ 主机防火墙:针对<单个主机>进行<网络防护>。 ## ★ 网络防火墙:针对<整个网
selinux-policy-3.14.3-80.el8.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-policy-3.14.3-78.el8.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-policy-3.13.1-268.el7_9.2.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-policy-3.13.1-229.el7.noarch.rpm
11-30
离线安装包,亲测可用
selinux-policy-targeted-3.13.1-229.el7.noarch.rpm
12-01
离线安装包,亲测可用
Linux ---selinux详解
weixin_45673560的博客
11-21 1817
一、selinux的定义 1 SElinux 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2 SElinux对系统的影响 SELinux插件开启时会为系统中开启的每一个程序和每一个文件加载一个标签...
SELinux 学习总结
eo_rsgfd的博客
02-02 2113
什么是SELinux SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上 SELinux 基本架构与原理. SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查
android/linux权限简单理解
kuang_tian_you的博客
03-09 1607
目录 1概述 2 DAC机制 2.2 权限 3 seAndroid/seLinux安全机制 3.1 安全上下文(SContext) 3.2 基本规则 3.3实例 4 总结 1概述 最近在android的开发过程中遇到一些权限问题。借此机会做个学习总结。 简单的来说Android/Linux的权限分为两大类,一个是seLinux的安全机...
ntainer-selinux-2.9
最新发布
05-30
ntainer-selinux-2.9是一个与Docker容器相关的安全性强制访问控制策略,目的是为了对Docker容器提供更强的安全性保护。你可以按照以下步骤安装并使用它: 1.首先,更新你的yum包: ```shell sudo yum update ``` 2.然后,安装ntainer-selinux-2.9: ```shell sudo yum install ntainer-selinux-2.9 ``` 3.启用ntainer-selinux-2.9: ```shell sudo setsebool -P container_manage_cgroup true ``` 4.重启Docker服务: ```shell sudo systemctl restart docker.service ``` 5.使用Docker容器时,需要确认你的容器使用了ntainer-selinux-2.9。你可以使用以下命令来验证: ```shell sudo docker run --rm -it --security-opt label:type:container-selinux busybox sh ``` 6.最后,你可以开始使用Docker容器以及ntainer-selinux-2.9提供的强大保护了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值