linux——selinux强制访问,监控selinux冲突,修改http服务的端口标签

最新推荐文章于 2024-07-09 12:33:44 发布
最新推荐文章于 2024-07-09 12:33:44 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: selinux 文章标签: selinux强制访问 监控selinux冲突 修改http服务端标签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44233369/article/details/86647369
版权
本文介绍了Linux中的SELinux,一种内核级的强化防火墙,详细讲解了如何查询和更改SELinux状态,管理安全上下文,监控SELinux冲突,以及如何修改HTTP服务的端口标签。内容涵盖临时和永久修改安全上下文,设置布尔值,以及处理SELinux冲突的方法。
摘要由CSDN通过智能技术生成

一.selinux

#内核级的加强型防火墙
#针对文件的时候,会对系统中每个文件添加安全上下文
#针对进程的时候,会对系统中每个进程添加安全上下文

selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文
selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关

二.selinux相关操作

1.查询selinux状态

命令:getenforce #查询结果有3种状态
1、enforcing #如果违反了策略,无法继续操作,表示强制
2、disabled #禁止
3、permissive #selinux有效,即是违法策略,依旧可以继续操作,但是会有警告,查看警告信息:cat /var/log/audit/audit.log

2.更改selinux状态

vim /etc/sysconfig/selinux #文件编辑
reboot #重启
测试:

[root@localhost ~]# getenforce
Disabled
[root@localhost ~]#vim /etc/sysconfig/selinux  #修改selinux=Enforcing
[root@localhost ~]#reboot  #重启
[root@localhost ~]# getenforce  
Enforcing
3.临时改变selinux状态

setenforce 0 | 1 #临时改变selinux状态,其中0表示警告模式;1表示强制模式
getenforce 查看状态
查询结果:
Permissive #警告模式,警告不被拒绝
Enforcing #强制模式,拒绝并且警告

测试:

[root@localhost ~]# setenforce 0
[root@localhost ~]# getenforce
Permissive
[root@localhost ~]# setenforce 1
[root@localhost ~]# getenforce
Enforcing

三.selinux安全上下文管理

做selinux安全上下文时首先需要开启vsftpd,关闭firewalld

[root@localhost ~]# systemctl restart vsftpd
[root@localhost ~]# systemctl enable vsftpd
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
rm '/etc/systemd/system/basic.target.wants/firewalld.service'
rm '/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service'
1.安全上下文

ls -Z #查看文件的安全上下文
semanage fcontext -l #内核指定的所有文件的安全上下文的列表 ; 查看文件安全上下文(man semanage fontext)

服务端:
[root@localhost ~]# touch /mnt/haha1
[root@localhost ~]# mv /mnt/haha1 /var/ftp/haha1  #复制是新建的过程,移动是重命名的过程,文件系统权限和属性不会改变
[root@localhost ~]# getenforce
Enforcing
[root@localhost ~]# cd /var/ftp
[root@localhost ftp]# ls -Z
-rw-r--r--. root root unconfined_u:object_r:mnt_t:s0   haha1  #安全上下文为mnt_t
-rw-r--r--. root root system_u:object_r:public_content_t:s0 hellohello  #安全上下文为public_content_t
drwxr-xr-x. root root system_u:object_r:public_content_t:s0 pub
[root@localhost ftp]# semanage fcontext -l | grep /var/ftp  #内核记录的/var/ftp的安全上下文
/var/ftp(/.*)?                                     all files          system_u:object_r:public_content_t:s0 
/var/ftp/bin(/.*)?                                 all files          system_u:object_r:bin_t:s0 
/var/ftp/etc(/.*)?
最低0.47元/天 解锁文章
我去前面探探路a
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxselinux强制访问控制
Ying_smile的博客
05-16 5091
selinux selinux强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
Apparmor——Linux内核中的强制访问控制系统
02-24 462
AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制。 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux...
SELINUX安全管理web小实验
最新发布
qq_64304610的博客
07-09 776
什么是SELinuxSELinux,全称为Security Enhanced Linux,是一个基于Linux安全模块(LSM)的强制访问控制系统。它通过为系统中的每个进程、文件和端口分配安全上下文(标签),并基于这些上下文实施访问控制,从而增强了Linux系统的安全性。
LinuxSeLinux-强制访问控制
无糖可乐没有灵魂
11-15 1025
SeLinux-强制访问控制 selinux是美国国家安全局(NSA)对于强制访问控制的实现,是linux上最杰出的新安全子系统。NSA是在linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。 selinux可以通过增强访问控制用户程序访问的最低权限: 对内核对象和服务访问控制 对进程初始化,继承和程序执行的访问控制 对文件系统,目...
Linux中的强制访问控制Selinux
qq_34267076的博客
09-03 2846
(工作当中都是默认关闭的) SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) SELinux的作用
SElinux强制访问控制
IT小石头
05-06 2359
Selinux安全体系结构成为flask ,安全策略的逻辑和通用接口一起封装在与操作系统独立的组件,这个安全组件成安全服务器。操作系统的访问控制分为自主访问控制DAC,强制访问控制,和基于角色的访问控制,Selinux强制访问控制的实现。 Selinux 的特点: 对访问控制的彻底化,对所有文件,目录,端口,的访问都是基于策略设定的,用户被划分成不同的角色,即使是root用户,如果不是某个角
linux系统---selinux
a939029674的博客
05-14 1183
SELINUX1.基本 SELINUX 安全性概念    SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制, 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访...
Linux 之旅 17:系统服务(daemons)
梦幻天空
09-03 1380
Linux 之旅 17:系统服务(daemons) 图源:pexels daemon与service daemon可以直译为守护进程,在Linux中特指服务进程。 service指服务,通常指提供某种功能的常驻后台的应用,可能会由多个服务进程组成。 在Linux中,这两者一般可以简单地等同,都可以指代服务进程,不过一般会使用daemon这个称呼。 关于daemon一词的来源和故事可以阅读计算机daemon和通过死循环构造的进程的区别是什么? systemd 早期的Linux发行版使用System V管
linux】使用systemctl start xxx启动自己的程序|开机启动|守护进程
小鱼菜鸟的博客
07-22 2911
目录 即看即用 详细说明 systemctl 的用途 用法 例子:以管理我们的程序verdaccio为例 开机启动 设置程序开机启动、关闭、启用/禁用服务以vsftpd为例 三个部分[Unit]、[Service]、[Install]配置说明 systemctl或service启动服务日志 systemctl和service的区别 ...
【进大厂必学】3W字180张图学习Linux基础总结
L的存在的博客
05-26 4327
就不多说这段时间干啥去了吧,期间和很多的同学聊了天,有的童鞋已经开始工作,聊了聊工作上的事儿。有的是今年即将毕业的童鞋,有着自己的小目标,有的想尝试互联网,所以现在基本上都快进行二轮的复习了,有的同学备战公务员,凭着年轻这股劲儿向往自己理想的生活状态,无论怎么样,长路漫漫,走一步,算一步,每一步都算数。 今天分享的这篇文章是 Linux 相关的基础知识,深一点的内容基本上没有,不过对于刚需小伙伴来说,也就够了,有时间的话,最好按照这些命令去试一试,敲一敲,这样记忆更加深刻。 老规矩,先看目录,文章比较长,建
基于Linux强制访问控制研究.pdf
09-06
基于Linux强制访问控制研究.pdf
论文研究-基于SELinux强制访问控制下Linux OS的安全性研究 .pdf
08-16
基于SELinux强制访问控制下Linux OS的安全性研究,李克迪,袁玉宇,Linux做为一种可靠性好、稳定性高的系统应用很广,但是他也和其他的UNIX 一样,存在诸如存在特权用户、访问权限划分不细等不足之处��
Linux强制访问控制selinux讲解
雷雪松
04-06 839
SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。有些问题可能就因为这个引起的。查看SELinux状态: 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled 2、getenforce ##也可以用...
Linux桌面需要强制访问控制,RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制...
weixin_33651906的博客
05-10 216
RHCSA 认证:SELinux 精要和控制文件系统的访问尽管作为第一级别的权限和访问控制机制是必要的,但它们同样有一些局限,而这些局限则可以由安全增强 Linux(Security Enhanced Linux,简称为 SELinux)来处理。这些局限的一种情形是:某个用户可能通过一个泛泛的 chmod 命令将文件或目录暴露出现了安全违例,从而引起访问权限的意外传播。结果,由该用户开启的任意进程...
Apparmor--linux内核强制访问控制
jingemperor的博客
09-06 624
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor, 可以在手册中获得相应的资料。
加固Linux系统----启用强制访问控制
weixin_34403693的博客
02-23 341
通过 SELinux 所实现的强制访问控制(或者说是 MAC),您可以获得进一步的安全性。使用 MAC,操作系统中的许可由进程所属的 用户/组 ID 以及正要被访问的对象(文件)所属的 用户/组 ID 来管理。另外,使用 MAC,Linux强制为每个单独的进程执行这些策略,它们会控制进程可以做什么事情。 那样,在使用 MAC 进行适...
linux访问控制机制,Linux强制访问控制机制模块代码分析报告(一)
weixin_33601402的博客
05-14 362
原标题:Linux强制访问控制机制模块代码分析报告(一)总体描述概述强制访问控制机制是访问控制机制的一种,主要用于根据主体和客体的安全属性来限制主体对客体的访问,从而对系统的安全进行防护,该机制是强加给主体的,当主体对客体进行访问时,系统强制要求其必须满足强制访问控制策略,其原理如图1-1所示。对于强制访问控制机制,有多种模型可以用来描述其功能,其中最具代表性的就是Bell-LaPadula模型(...
Linux桌面需要强制访问控制,Linux强制访问控制机制模块详细描述(1)
weixin_39524574的博客
05-10 141
原标题:Linux强制访问控制机制模块详细描述(1)2 详细分析2.1模块功能描述对于SELinux中实现的MLS,其主要通过安全级别对系统资源的访问进行限制,相关操作定义在security/selinux/ss/mls.c、security/selinux/ss/context.h及security/selinux/ss/mls_types.h中,对于这些操作下面会进行详细介绍,这里不再赘述。2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值