linux安全管理教程,Linux基础教程学习笔记22——管理SELinux安全

最新推荐文章于 2023-08-17 10:29:12 发布
最新推荐文章于 2023-08-17 10:29:12 发布
阅读量162 收藏
点赞数
文章标签: linux安全管理教程

Linux基础教程学习笔记22——管理SELinux安全

一、ugo模式主动访问控制DAC

文件的权限控制ugo  rwx

二、selinux强制访问控制MAC

每个文件资源都有一个标记,特定标记的进程,只能访问特定标记的资源,无法访问其他资源,即使资源的权限设置为777(rwx)

三、查看和设置文件和进程的安全标记

使用-Z的选项可以查看文件和进程的标记,以httpd服务为例子:

[root@linuxidc tmp]# ls -Z

--wx-----x. root  root  unconfined_u:object_r:user_tmp_t:s0 a1

-----w----. root  root  unconfined_u:object_r:user_tmp_t:s0 a4

---------x. root  root  unconfined_u:object_r:user_tmp_t:s0 a5

[root@linuxidc html]# ps auxZ|grep httpd

system_u:system_r:httpd_t:s0    root      5477  0.1  0.4 213692  4904 ?        Ss

[root@linuxidc html]# ls -ldZ /var/www/html/

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

在根下创建一个www的目录,并在/var/www/html下面做一个www的软链接:

[root@linuxidc html]# mkdir /www

[root@linuxidc html]# ln -s /www/ www

[root@linuxidc html]# ls

index.html  iso  ks.cfg  www

/www目录的默认的上上下文为,没有标记为httpd:

[root@linuxidc html]# ls -ldZ /www/

drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /www/

如果这时候启动httpd服务,打开浏览器,访问www目录,会提示不被允许:

8ce2cb4c4c902b9272d4b9e2f9a9a0db.png

修改/www目录的上下文,使其上下文与/var/www/html一致,再打开www目录即可访问:

[root@linuxidc html]# chcon -R --reference=/var/www/html/ /www

[root@linuxidc html]# ls -ldZ /www/

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /www/

abebea75f1e69e294f91958cd560cc82.png

使用restorecon命令可以恢复文件资源的默认上下文:

[root@linuxidc html]# ls -ldZ /www/

drwxr-xr-x. root root system_u:object_r:default_t:s0  /www/

使用chcon命令只能临时改变文件资源的上下文,重启电脑则会恢复默认值,要想永久的修改默认的上下文,则需使用semanage命令:

[root@linuxidc html]# semanage fcontext -a -t httpd_sys_content_t '/www(/.*)?'

使用restorcon命令再恢复默认上下文,则恢复的是最新设置的上下文

使用-d选项可以删除默认的上下文:

[root@linuxidc html]# semanage fcontext -d -t httpd_sys_content_t '/www(/.*)?'

四、selinux的三种模式

1、enforcing

使用getenforce可以查看系统当前的模式:

[root@linuxidc html]# getenforce

Enforcing

不符合selinux模式则会报警,同时会阻止相关的操作

2、permissive

切换到permissive模式,使用setenforce

[root@linuxidc html]# setenforce 0

[root@linuxidc html]# getenforce

Permissive

不符合selinux模式的操作,permissive会有警报,但是不会阻止相关的操作;

3、disable

在/etc/selinux/config文件中可永久修改selinux模式:

五、修改selinux模式的布尔值

使用getsebool -a命令查看所有的布尔值

[root@linuxidc html]# getsebool -a

abrt_anon_write --> off

abrt_handle_event --> off

abrt_upload_watch_anon_write --> on

如果搭建了某个服务,在客户端访问该服务,写不进任何东西,可以按以下步骤检查:

1、检查配置文件是否开启了相关的写权限;

2、文件系统权限

3、selinux上下文和布尔值是否开启了相关的权限

图形化管理selinux可以安装相关的包,使用system-config-selinux命令;

0b1331709591d260c1c78e86d0c51c18.png

带刺的花仙子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linuxselinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在...
安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
热门推荐
kkza的博客
08-13 1万+
一 身份鉴别 1 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,应该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
linux等保三级详细指导
qq_42430287的博客
04-13 6298
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不...
15 SELinux安全防护
行走的皮卡丘
10-08 686
15 SELinux安全防护
加强你的Linux服务器安全性的7个步骤,可以防止至少90%的攻击
CHQIUU的专栏
08-17 1万+
这并不是一个全面的安全指南。它可以帮助你防止近90%的流行后端攻击,例如尝试登录和。最好是你可以在一两个小时内实现它们。
linux等保三级检查命令
UMSA
12-02 4454
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
selinux实现为linux安全模块报告
12-28
美国NSA对selinux实现的整理报告,非常系统,详细,有助于了解linux
Linux基础学习笔记.docx
04-16
Linux 基础学习笔记Linux 操作系统的基础知识笔记,涵盖了 Linux 命令解析语法、权限管理SELinux 设置、磁盘设置、用户和组设置、计划任务、归档等基础知识点。 一、破密码 破密码是 Linux 系统中的一种安全...
hi 感恩节——Linux基础教程之mysql和php
01-10
选择了Linux发行版本,你就会想如何开始学习Linux了。 1.当然是安装Linux了,请上网自行google或者百度,下载redhat linux 5的安装光盘,然后再安装vmware,自行安装 2.多动手,多敲命令。只看书,不实践,一切都是...
超详细教学 Linux系统安全及应用
wlc1213812138的博客
05-19 97
首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于letc/pam.d下),最后调用认证文件(位于/lib64/security下)进行安全认证。[root@localhost ~]# chage -M 天数 用户名 //将已有用户的密码有效期改为指定天数。vim /etc/sudoers(此文件的默认权限为440,保存退出时必须执行":wq!是一种高效且灵活便利的用户级别的认证方式,也是当前Linux服务器普遍使用的认证方式。sudo命令,默认使用户以root身份执行被授权的命令。
Linux基础——系统安全及应用
cxin1225的博客
04-14 139
定义:sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,减少了root用户的登录 和管理时间,同样也提高了安全性。授权 zhangsan 用户能够执行 ifconfig 命令来修改 ip 地址,而 wheel 组的用户不需要验证密码就可以执行任何命令。chattr +i /etc/passwd /etc/shadow ## 锁定文件并查看状态。chattr -i /etc/passwd /etc/shadow ## 解锁文件。
管理SELinux安全
qq_56216604的博客
03-05 123
SELinux 上下文 标签
linux安全检测指令小合集
2301_76570835的博客
02-17 223
1.见到tomcat(tongweb,weblogic,金蝶),就找jsp,war 见到IIS,就找asp,aspx 见到apach,nginx,考虑找php 2.tomcat服务是哪个用户开启的?<ps -aux |grep “tomcat”> 3. 黑客通过添加的用户最近一次登录到服务器时间是什么?(last) 4.ssh暴力破解——————————lastb 5.按时间范围查找新生成文件 find /log/ -name “*.jsp” -newermt ‘2011-01-01’ ! -n
Linux安全SELinux理解
mengmeng_921的博客
09-30 2550
安全增强式 LinuxSELinux)是一种强制访问控制的实现。它的作法是以最小权限原则为基础,在 Linux 核心中使用 Linux 安全模块。它并非一个 Linux 发行版,而是一组可以应用在类 Unix 操作系统(如 Linux、BSD 等)的修改。SELinux 更能遵从最小权限的理念安全增强式SELinux是一个在内核中实践的强制访问控制安全性机制Linux安全SELinux理解两种访问控制DAC:自主访问控制MAC:强制访问控制SELinux有两种工作级别。
SElinux强制访问控制机制原理及验证
npu_nazi的博客
01-07 516
SElinux强制访问控制机制原理及验证
system-config-selinux工具安装
zjc801的专栏
01-09 1770
system-config-selinux  工具包名称policycoreutils-gui yum install policycoreutils-gui
Linux——管理SElinux安全
m0_71334593的博客
03-26 620
Linux——管理SElinux安全
linux shell目录管理,Linux文件管理、目录管理及用户管理命令
weixin_42121412的博客
04-28 152
1、Linux上的文件管理类命令及常见使用方法、示例常见的文件管理类命令有 cp(拷贝),mv(移动),rm(删除),这三者的共性选项有-i(交互式),-f(强制),cp 和 rm 还有共性选项-r(递归)。cp 和 mv 的操作可以单源或多源,单源操作时目标对象可以是文件或者目录,多源操作时,目标对象只能是目录,即 cp 和 mv 不能作为合并文件之用。下面以一个多源操作演示这三个命令例:首先在...
4-网络端口安全性-管理selinux安全标记
拙能胜巧
06-14 1208
1.服务器:创建测试环境。2.服务器:重新启动httpd服务,发现服务服务启动,查看详细的启动过程,发现82端口被拒绝,查看安全提醒的审计日志,发现selinux阻止httpd服务访问tcp_socket。3.服务器:查看selinux对http端口的管理,一般性的端口80使用的是http_port_t类型,因此将82端口也添加为此类型。添加后重新启动httpd服务。4.服务器:通过curl直接访...
Linux安全管理软件工具与其功能
最新发布
06-14
Linux系统安全管理是一个关键领域,涉及到许多工具来保护系统免受攻击、维护权限和日志记录等。以下是一些常用的Linux安全管理软件工具及其主要功能: 1. **SELinux (Security-Enhanced Linux)**: 这是Linux内核的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值