se linux ll-z,selinux常用操作

最新推荐文章于 2022-12-21 13:55:47 发布
最新推荐文章于 2022-12-21 13:55:47 发布
阅读量831 收藏
点赞数
文章标签: se linux ll-z

#selinux操作,操作系统centos7,系统selinux为打开状态。

破坏selinux标签:

# cp /var/log/messages /root/ //只需反复复制到不同的目录,selinux标签就变了 admin_home_t变成了var_log_t,如果系统不开启selinux,新复制的文件标签为空。

# ll -Z /var/log/messages

-rw-------. root root system_u:object_r:var_log_t:s0 /var/log/messages

# ll -Z /root/messages

-rw-------. root root unconfined_u:object_r:admin_home_t:s0 /root/messages

# \mv /root/messages /var/log/

# ll -Z /var/log/messages

-rw-------. root root unconfined_u:object_r:admin_home_t:s0 /var/log/messages //此时原来的标签已被破坏,原来为var_log_t,现在变成了admin_home_t,现在原进程往这个文件记录日志会被禁止。

# logger "this is log test" //写入这个命令会以某个用户身份向/var/log/message里写日志

# tail -f /var/log/message 日志没有反应

# chcon -t var_log_t /var/log/messages //修改标签

# ll -Z /var/log/messages

-rw-------. root root unconfined_u:object_r:var_log_t:s0 /var/log/messages //改回了var_log_t

systemctl restart rsyslog //要重启使用/var/log/messages的服务才能生效

# logger 'this is test log'

# tail -f /var/log/messages 日志写入成功

参考某个文件修改selinux标签:

ll -Z

-rw-r--r--. root root unconfined_u:object_r:default_t:s0 test.txt

\# ll -Z /var/log/messages

-rw-------. root root unconfined_u:object_r:var_log_t:s0 /var/log/messages

\# chcon --reference /var/log/messages /testdir/test.txt //参考messages 修改 test.txt

\ # ll -Z /testdir/test.txt

rw-r--rw-r--r--. root root unconfined_u:object_r:var_log_t:s0 /testdir/test.txt

selinux httpd修改网站代码路径并添加selinux标签

mkdir /data/www --> # touch /data/www/index.html

\# ll -Z /data/www/index.html

rw-r--rw-r--r--. root root unconfined_u:object_r:default_t:s0 /data/www/index.html //此时标签为default_t

\ # semanage fcontext -l | grep "/var/www/html" //httpd默认selinux标签

# semanage fcontext -a -t httpd_sys_rw_content_t "/data/www(/.)?"

# semanage fcontext -l | grep /data/www //多了一条规则

# ll -Z /www/data //标签还没生效

# restorecon -R /data/www/ //根据selinux数据库规则递归重新更新标签

# semanage fcontext -d "/data/www(/.)?" //从数据库删除规则

# semanage fcontext -l | grep data/www 规则不存在了

selinux httpd端口修改:

semanage port -l | grep http //查看允许的端口

\# systemctl start httpd # ss -ntl //服务正常访问

将httpd监听端口改为 9527 后,重启httpd服务失败

\# semanage port -a -t http_port_t -p tcp 9527 //增加端口

\# systemctl restart httpd //重启成功

selinux 修改ssh默认端口:

semanage port -l | grep ssh

\# semanage port -m -t ssh_port_t -p tcp 9527 //9527端口要已被添加到selinux的端口,随便加一个不行。

\# semanage port -d -t ssh_port_t -p tcp 9527 //删除端口

selinux 设置bool布尔值

getsebool -a

\ # semanage boolean -l | grep samba_enable //查看临时生效与永久生效

# getsebool -a | grep samba_enable

# setsebool samba_enable_home_dirs 1 //临时生效

# setsebool sambgetsebool -a | grep samba_enable 已开启

# setsebool -P samba_enable_home_dirs on //永久生效

# semanage boolean -l -C //查看修改过的布尔值

Li小飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux基础课件-SELinux运行模式.pptx
11-02
SELinux,全称为Security-Enhanced Linux,是一种强制访问控制(MAC)机制,旨在增强Linux操作系统的安全性。它通过定义严格的策略来限制进程对系统资源的访问,从而降低安全风险。SELinux有三种主要的运行模式: 1...
se linux ll-z,SELinux
weixin_32237761的博客
05-25 425
一:SELinux概念1: 简介SELinux: Secure Enhanced Linux,是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中特性:MAC环境下策略的规则决定控制的...
se+linux+ll-z,SElinux
weixin_39553904的博客
05-25 259
概念Linux的一个强制访问控制的安全模块DAC:Discretionary Access Control 自由访问控制MAC:Mandatory Access Control 强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制的策略被用来定义被限制的进程能够使用那些资源(文件和端口)默认情况下,没有被明确允许的行为将被拒绝SELinux有四种...
se linux ll-z,Linux中的SELinux
weixin_36213934的博客
05-25 410
SElinux的前身是NSA(美国国家安全局)发起的一个项目。它的目的是将系统加固到可以达到军方级别。为什么NSA选择Linux呢?在目前市面上大多数操作系统都是商用闭源的,只有Linux是开源的,这样修改并加入这项功能就方便许多,而且没有版权纠纷。所以,现在selinux就成为了Linux内核的一部分。在了解selinux之间,我们需要知道DAC和CS的概念,它们是linux系统本身的安全机制。...
系统运维-14-3-Selinux基础知识
拙能胜巧
01-05 341
0.基础知识准备:首先我们需要知道在selinux没有启用的状态下,系统执行的是DAC即自主访问控制,同时我们还需要知道MAC即强制访问控制的概念。   1.cat /etc/selinux/config查看selinux的配置文件,这里可以看到enforcing(非授权访问会受限制)  permissive(非授权访问不会受限制,但会在审计日志中进行记录)  disabled(关闭)三种可选...
Linux基础篇
lzy_zhi_yuan的博客
08-03 1605
Linux基础篇说明:本文章内容是笔记性的安装LinuxCentOS 映像文件下载地址软件安装、原始码 file /bin/bash:看看是否是二进制文件 Tarball源码安装 安装gcc 编写hello.c 执行gcc hello.c ll hello.c a.out 执行gcc -c hello.c ll hello.c hello.o 执行gcc -o hello hello.c ll
container-selinux2.9-4.rar
06-20
centos系统安装docker时常缺此安装包, 下载rpm安装包后执行命令: rpm -i container-selinux-2.9-4.el7.noarch.rpm 即可完成安装,再继续docker其他安装。
container-selinux-2.74-1.el7.noarch.rar
03-03
1. 首先,解压下载的`container-selinux-2.74-1.el7.noarch.rar`压缩包,获取到`container-selinux-2.74-1.el7.noarch.rpm`文件。 2. 接着,在终端中使用`rpm`命令进行离线安装,命令如下: ```bash rpm -ivh ...
container-selinux-2.74-1.el7.noarch.rpm
12-02
解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm
Linux学习-93-SELinux安全上下文操作
最新发布
时光
12-21 1716
Linux学习-93-SELinux安全上下文操作
se linux ll-z,Linux selinux 基础
weixin_33441139的博客
05-25 220
一、SELinux简介SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。SELinux是一个安全体系结构,它通过LSM(LinuxSecurity Modules)框架被集成到Linux Kernel 2.6.x中。因为SEL...
自己控制文件安全上下文
wjyph的博客
07-09 1323
我们已经知道进程按照特定的SELinux域来执行的,域被SELinux用来检查进程针对某一上下文的文件的权限。我们需要知道如何设置文件的上下文,知道如何让这可管理。由此以来,如果当出现因为错误的上下文而权限拒绝。我们需要纠正这个问题。 SELinux中的文件(目录)的上下文通过它的扩展属性来设置的,但是不得不手动为所有文件设置上下文,这需要包含所有可能的文件路径和相关的SELinux上下文的数据
解决logrotate切割日志失败
chinachendejiang的专栏
08-03 2772
配置logrotate一段时间,发现自己配置的没有定时切割,系统的是正常的,检查了配置文件发现又是正确,强制切割(logrotate -f /etc/logrotate.conf)又可以,定时就是不正常,后来baidu,才知道是selinux的安全策略问题。   解决方法: 给日志文件增加安全上下文 var_log_t   如:nginx的日志,指定日志所在目录,执行以下脚本  ch...
se+linux+ll-z,selinux相关知识详解及实例讲解
weixin_29356805的博客
05-25 998
一。selinux相关知识html1.SELinux简介nodeSELinux是一个强制访问控制的安全模块,linux内核2.6版本后集成在内核pythonDAC:Discretionary Access Control自由访问控制linuxMAC:Mandatory Access Control 强制访问控制webDAC下进程是毫无束缚的centosMAC环境下策略的规则决定控制的严格程度缓存M...
SELinux安全上下文查看方法(超详细)
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 1023
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文,SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# l...
关于SELinux的一些知识(工作当中都是默认关闭的)
qq_41218884的博客
12-20 1787
一、基本概念 SELinux(Security-EnhancedLinux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进...
selinux 简介
qq_43679416的博客
09-07 1652
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) 1.对内核对象和服务的访问控制 2.对进程
SELIUNX的介绍及简单配置
weixin_43791474的博客
12-20 720
一、selinux的设置 我们首先介绍selinuxselinux在工作当中默认关闭的) SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值