Linux中的selinux设置

最新推荐文章于 2024-03-25 01:20:04 发布
最新推荐文章于 2024-03-25 01:20:04 发布
阅读量563 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44299264/article/details/86835859
版权

selinux即(Security-Enhanced Linux)安全增强型Linux,它是一个Linux内核模块,也是Linux的一个安全子系统。

selinux有三种模式:
Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。
permissive:警告模式,在selinux运作时,会有警告信息,但不会限制domain/type的存取。
disabled:关闭模式。
使用getenforce命令查看当前模式
在这里插入图片描述

selinux对文件的作用
当开启selinux后,selinux会给每个文件加载标签context,安全上下文必须配对,否则文件不能访问

例如:

开启selinux为Enforcing强制模式

在根目录下创建一个目录在此目录中新建一个文件,并且移动到ftp中的pub目录
在这里插入图片描述

用户登陆ftp查看文件
在这里插入图片描述

可以发现移动的文件看不到

使用ls -Z /var/ftp/命令查看该文件的安全上下文

在这里插入图片描述

可以看到两个文件的安全上下文并不相同,因此不会显示

临时更改安全上下文
chcon -t public_content_t /westos/ -R 临时更改安全上下文

在这里插入图片描述

登陆ftp查看文件

在这里插入图片描述
(注意:chcon只是对安全上下文的临时修改,当系统selinux重启后,修改会失效)

永久修改安全上下文

semanage fcontext -a -t public_content_t '/westos(/.*)?' (/westos(/.*)?'表示目录及目录里面的内容)
semanage fcontext -l | grep westos
restorecon -FvvR /westos/ (-R:递归;-vv:显示目录下的子目录或文件修改信息;-F:强制设置目录中文件和目录安全上下文一致)

在这里插入图片描述
安全上下文已经修改完成

selinux对服务的作用

在selinux开启(Enforcing)的状态下,登陆ftp来测试selinux对服务的开关作用

本地用户上传:

getsebool -a | grep ftp (查看seLinux对ftp开关状态)
在这里插入图片描述
setsebool -P ftp_home_dir on (允许本地用户上传文件)

登陆ftp,本地用户可以上传文件

在这里插入图片描述
注意:上传文件时需要将目录权限修改为775,所属分组为ftp,如下图:
在这里插入图片描述
匿名用户上传:
getsebool -a | grep ftp
setsebool -P ftpd_anon_write on
semanage fcontext -a -t public_content_rw_t /var/ftp/pub

在这里插入图片描述
restorecon -RvvF /var/ftp/pub/

在这里插入图片描述
使用匿名用户上传文件:
在这里插入图片描述
(注意:setenforce 0 (警告)1(拒绝),设置成0以后,在/mnt下建立的文件mv到/var/ftp/pub下可见 会有警告 cat /var/log/audit/audit.log 查看报错)

安装setroubleshoot ,可以对selinux错误日志,可以提供解决方案
yum install setroubleshoot-server.x86_64

cat /var/log/audit/audit.log (记录selinux采集的日志)
cat /var/log/messages (记录日志和解决方案)
在这里插入图片描述

RainingCostaRica
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux安全机制之Selinux
陈子陌的博客
11-20 4011
一、引言 1.1、什么是Selinux Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。 本文下面讲的类似内容,有安卓源码的小伙伴可以到类似目录(android/device/softwinne
如何检查selinux的状态
linux_tcpdump的博客
04-01 5208
如果这一行的值为“disabled”,则SELinux处于“Disabled”模式。这将会显示SELinux的状态和模式。如果输出为“Enforcing”,则SELinux处于“Enforcing”模式,如果输出为“Permissive”,则SELinux处于“Permissive”模式,如果输出为“Disabled”,则SELinux处于“Disabled”模式。本文介绍了三种不同的方法来检查SELinux状态:使用“sestatus”命令、使用“getenforce”命令和查看SELinux配置文件。
SELinux详解
最新发布
不知道
03-25 6573
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
Selinuxtype创建
无本之木
08-16 3309
In fedora the resources and files necessary for building new modular policies are in the devel directory under /usr/share/selinux/. This directory and all the files required for module development com
Selinux type 编写示例
Android 系统开发
02-23 3293
以下是从aosp ,分析如何定义的type 和allow 规则 1.定义typedomain) hal_light 这个type的定义 type hal_light_default, domain; hal_server_domain(hal_light_default, hal_light) aosp/system/sepolicy/vendor/qcom/common/hal_li...
Linux的防火墙——SELinux
不易青年
10-28 233
SELinuxLinux特有的安全机制。因为这种机制的限制太多,配置也特别繁琐,所以几乎没人真正应用它。安装完系统,我们一般都要把SELinux关闭 1、临时关闭的方法 # setenforce 0 但这只是临时的,要永久关闭需要更改配置文件:“ /etc/selinux/config ”,要把 SELINUX=enforcing 改成 SELINUX=disabled  更改后的内容...
Linuxselinux基础配置教程详解
09-15
SELinux(Security-Enhanced Linux)的简单配置,涉及SELinux的工作模式、配置文件修改、查看和修改上下文信息,以及恢复文件或目录的上下文信息。这篇文章主要介绍了Linuxselinux基础配置,需要的朋友可以参考下
关闭selinux LinuxSELinux的开启、关闭
07-05
SELinux是内置在许多GNU / Linux 发⾏版的主要强制访问控制(MAC)机制。SELinux最初是由犹他州⼤学Flux团队和美国国防部开发的 Flux⾼级安全内核(FLASK) 。美国国家安全局加强了这⼀发展,并将其作为开源软件发布。...
临时/永久关闭Linux下的selinux
01-25
本资源介绍了如何临时关闭selinux、永久关闭selinux的方法
LinuxSElinux以及防火墙的关闭
01-09
 修改/etc/selinux/config文件SELINUX= 为 disabled ,然后重启。  如果不想重启系统,使用命令setenforce 0  注:  setenforce 1 设置SELinux 成为enforcing模式  setenforce 0 设置SELinux 成为...
linux宽松模式,SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
weixin_42393272的博客
05-12 2834
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换在Android的root相关的文章里经常会看到关于SElinux,Android4.3以后引进SElinux。###SELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux目前 SELinux 支持三种模式,分别如下...
Define a SELinux domain for Service
09-27
How to define a SELinux domain for a new Service. 最简洁的模板
[Linux 基础] -- SELinux
u014674293的博客
08-03 405
一、概览 1.1、什么是 SELinuxSELinux 是 Security Enhanced Linux 的缩写,字面意思是安全增强型 linux。 1.2、设计目的:避免资源的误用 SELinux 是由美国国家安全局 (NSA) 开发的,当初开发这玩意儿的目的是因为很多企业界发现, 通常系统出现问题的原因大部分都在於『内部员工的资源误用』所导致的,实际由外部发动的攻击反而没有这么严重。 举例来说,如果有个不是很懂系统的系统管理员为了自己配置的方便,将网...
SELinux基础
m0_59081230的博客
02-05 300
SELinux(Security Enhanced Linux)提供了一个额外的系统安全层。SELinux 可用于解 答:是否可以针对进行?。例如:一个 web 服务器是否可以对用户目录 的文件进行访问? 系统默认系统管理员一般无法通过基于用户、组群和其它权限(称为 Discretionary Access Control, DAC)的标准访问策略生成全面、精细的安全策略。 SELinux
LInux基础——SELinux
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
Linux下的selinux
weixin_43936969的博客
11-14 330
一、selinux的定义 selinux: 一种控制服务安全,是内核上面的一个插件,也叫做内核级加强型火墙,是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以...
[Android 基础] -- SELinux For Android (Android O)
u014674293的博客
08-11 2945
改为当意译自 Android 官方 《SELinux for Android 8.0》
SELinux策略语言--类型强制(编写TE规则)
热门推荐
MyArrow的专栏
08-20 3万+
1. 简介
linuxselinux
weixin_39094034的博客
06-08 239
一、前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。 如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可
linux 关闭 selinux
03-21
SELinux(Security-Enhanced Linux)是一种安全增强的Linux安全模块,它提供了强制访问控制(MAC)机制,用于保护系统资源和数据的安全。关闭SELinux可能会降低系统的安全性,但在某些情况下可能需要关闭它。 要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值