linux中的selinux相关知识

最新推荐文章于 2021-05-08 07:03:54 发布
最新推荐文章于 2021-05-08 07:03:54 发布
阅读量159 收藏
点赞数 1
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44317199/article/details/87108725
版权

selinux简介

selinux(安全增强型linux):内核级的加强形火墙,内核上的插件,改变后要重启是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。

在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限标签。

(控制哪些用户对哪些文件具有哪些访问权,selinux的另一个不同之处在于,若要访问文件必须具有普通访问权限和selinux访问权限。因此,即使以超级用户身份运行程序,根据进程以及文件或资源的selinux安全性上下文可能拒绝访问文件或资源)

实验环境准备:重新安装vsftpd服务

rm -fr /etc/vsftpd/
yum reinstall vsftpd -y

vim /etc/sysconfig/selinux		  ##disabled-->enforcing
getenforce  					  ##查看状态
reboot

开启的两种形式:permissive/enforcing
给服务加上一个开关
boolean布尔型 开关0 1
on–>开 , off–> 关
有选择性的打开
文件上的标签和所能访问的服务上的标签不一致则不能访问

1.安全上下文

这个是我们主要修改的地方,进程必须和文件的安全上下文对应(不是必须一样)才能对其进行访问。

ls -Z 文件名    	  	 	 #查看文件的安全上下文

ps -Z 进程pid             #查看进程的安全上下文

实验:
在/mnt目录建立一个文件,并且把文件移动到匿名用户的pub目录里。
因为安全上下文不一致不能看到此文件
在这里插入图片描述
在这里插入图片描述
说明:
context共分为五个部分,以:分隔。

userroletypesensitivitycategory
身份识别文件、进程、用户数据类型安全级别划分的不同分类
unconfined_u不受限的用户或文件system_u受限的进程或文件object_r文件,system_r进程和用户何种类型进程访问何种文件s0最低,只有在msl才有意义这一位没有什么大的作用

注意:安全上下文匹配可以访问,特定的程序只能访问安全上下文匹配的文件,如果不匹配会被内核禁止,还会影响服务本身的功能。

1)临时更改安全上下文:

chcon -t public_content_t /var/ftp/fire		##更改fire文件的安全上下文为public_content_t

在这里插入图片描述

2)永久更改安全上下文

semanage fcontext -a -t public_content_t '/redhat(/.*)?'
									##/redhat(/.*)?---->目录及目录里面的内容
semanage fcontext -l | grep redhat ##查看redhat目录与目录中文件的安全上下文
restorecon -FvvR /redhat/				##刷新
ls -Zd /redhat/

在这里插入图片描述

2selinux的常用作用

1)本地用户可上传

getsebool  -a | grep ftp  		 ##查看功能是否开启
setsebool  -P ftp_home_dir on 	 ##开启上传文件功能

在这里插入图片描述
在这里插入图片描述

测试:

lftp 172.25.254.223 redhat
ls
put /etc/passwd 					##文件上传成功

在这里插入图片描述

2)匿名用户上传

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=YES
anon_upload_enable=YES		##允许匿名用户上传
systemctl restart vsftpd.service

在这里插入图片描述

2.打开selinux匿名用户上传开关。

getsebool -a | grep ftp				##查询权限开关
setsebool -P ftpd_anon_write on	##打开ftp匿名用户写权限

在这里插入图片描述
3.更改匿名用户家目录权限和安全上下文可写

chgrp ftp /var/ftp/pub/
chmod 775 /var/ftp/pub/
ls -Zd /var/ftp/pub/									 ##查看目录的安全上下文
semanage fcontext -a -t public_content_rw_t /var/ftp/pub ##开启安全上下文写权限
semanage fcontext -l | grep  /var/ftp/pub			 	 ##查看pub目录的安全上下文更改
restorecon -RvvF /var/ftp/pub/							 ##刷新安全上下文

在这里插入图片描述

5)测试

在这里插入图片描述

3)selinux的三种状态

1)disabled:不警告不决绝

2)permissive:警告但是不拒绝

3)enforcing(强制警告):拒绝并且警告

setenforce 0:警告但是不拒绝---->permissive
setenforce 1:警告并拒绝-------->enforcing
getenforce:查看状态

实验:

cd /mnt
touch test
mv test /var/ftp
lftp 172.25.254.223
ls  					##看不到
setenforce 0   			##警告但是不拒绝
getenforce 				##查看状态
lftp 172.25.254.223
ls   					##看得到

在这里插入图片描述

setenforce    		##警告并拒绝
getenforce  		##查看状态
lftp 172.25.254.218
ls   				##看不到

4)报错解决方案:

1.下载所需软件

yum install setroubleshoot-server-3.2.17-2.el7.x86_64

在这里插入图片描述

2.清空日志后可看到报错
在这里插入图片描述

Hell丶
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux相关知识
jasonyang69的博客
11-02 198
一、SELinux是什么? SELinux,Security Enhanced Linux 的缩写,也就是安全强化的 Linux。传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统的安全增强功能模块,它通过对进程和文件资源采用 MAC(强制访问控制方式)为 Linux 系统提供了改进的安全性。 二、SELinux的作用: 传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统的安全
LInux基础——SELinux
热门推荐
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
selinux相关知识详解及实例讲解
weixin_33688840的博客
09-19 176
一。selinux相关知识1.SELinux简介 SELinux是一个强制访问控制的安全模块,linux内核2.6版本后集成在内核DAC:Discretionary Access Control自由访问控制MAC:Mandatory Access Control 强制访问控制...
linuxSELinux保护
weixin_33826609的博客
09-05 203
selinux 是由美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制,针对用户,进程,文档标记安全属性并实现保护性机制。 SELinux安全体系直接集成在Linux内核,包括三种运行模式:disabled:彻底禁用,内核在启动时不加载SELinux安全体系enforcing: 强制启用,内核加载SELinux安全体系,并强制执行保护策略p...
linux三种运行模式的英文,SELinux三种模式
weixin_35950365的博客
05-08 760
一、SELinux三种模式简介Enforcing:强制模式。代表SELinux在运行,且已经开始限制domain/type之间的验证关系Permissive:宽容模式。代表SELinux在运行,不过不会限制domain/type之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正确会发出警告Disabled:关闭模式。SELinux并没有实际运行二、getenforce命...
Linuxselinux基础配置教程详解
09-15
本文将深入讲解如何在Linux环境配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **Enforcing**:强制模式。在该模式下,SELinux会严格限制不同安全域(domain)和类型(type)之间的交互,任何不符合策略...
LINUX基础知识PPT课件.ppt
11-24
LINUX目录结构包括根目录、bin目录、boot目录、dev目录、etc目录、home目录、lib目录、lib64目录、lost+found目录、media目录、mnt目录、opt目录、proc目录、root目录、run目录、sbin目录selinux目录、sys目录、...
SELinux by Example Using Security Enhanced Linux
最新发布
02-01
在书,作者会详细讲解如何配置和管理SELinux,包括以下关键知识点: 1. **基础概念**:介绍MAC的概念,对比传统Unix/Linux的权限模型,解释为什么需要SELinux以及其工作原理。 2. **SELinux模式**:讲解...
2023年linux知识点整理.doc
11-06
Linux额外知识点章节,我们可以看到介绍了Linux额外知识点,包括Linux的发展历史、Linux的应用领域、Linux的未来发展等。在这里,我们可以了解到Linux的广阔应用前景和发展方向。 这个Linux知识点整理文件涵盖...
linux相关知识
12-13
知识包将深入探讨Linux相关知识。 一、Linux发行版 Linux有许多不同的发行版,如Ubuntu、CentOS、Fedora、Debian等。每个发行版都有其特色,例如Ubuntu以用户友好著称,CentOS则常用于服务器环境,提供长期支持...
提升篇——SELINUX相关介绍
meltsnow的博客
02-14 306
1.SElinux简介 SELinux 是 2.6 版本的 Linux 内核提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。它们都是在内核启用 SELinux 的,并且提供...
Linuxselinux
weixin_44846409的博客
04-23 180
什么是selinuxselinux是内核级加强型火墙 开启或关闭selinux时只能通过重启电脑来实现设置 作用:限制服务功能,限制服务访问功能 selinux的三种状态: disabled ###关闭selinux的各项功能### permissive:0 ###警告状态,不拒绝### enforcing:1 ###强制状态,拒绝访问### 如何查看三种状态: getenforc...
简单了解linuxselinux
qq_16021247的博客
04-13 2468
一、安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 二、SELinux 主要作用就是最大限度地减小系统服务进程可访问的资源(最小权限原则)。 在没有使用 SELinux 的操作系统,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。只要访问这个资源...
LinuxSElinux相关知识及操作
halobios_的博客
02-11 244
SElinux系统级安全内核 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的 实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的 任务所需要文件。 更改selinux的状态: 1.永久性修改 vim /etc/sysco...
android 拾遗
weixin_34248023的博客
09-07 103
2019独角兽企业重金招聘Python工程师标准>>> ...
linuxselinux介绍及相关命令操作
会飞的鱼的博客
05-11 3472
selinux是什么?SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是一种基于域-类型模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核。传统的Linux权限控制采用自主式权限控制(Discretionary Access Control, DAC),依据程序拥有者和资源的...
linuxselinux
weixin_39094034的博客
06-08 243
一、前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。 如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可
SELinux详解(1)
Skycrab
03-10 1万+
#一.常见的读取控制机制 1.DAC(Discretionary Access Control ):任意读取控制     在此机制下,每一个对像都会记录一个拥有者的信息,只要是对象的拥有者,就可以获得对该对象的完全控制。 传统的UNIX系统提供的安全机制就是DAC思维。 2.MAC(Mandatory Access Control):强制读取控制   在MAC机制下,会为每一个对
Linux之内核级防火墙selinux模块
qq_41830712的博客
01-28 735
一、什么是selinuxSELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Lin...
深入理解LinuxSELinux配置与系统介绍
配置SELinux是增强Linux系统安全的重要一环,而理解Linux的基础知识和特性则有助于更好地管理和维护Linux环境。在安装和配置过程,应结合具体需求,正确设置SELinux策略,确保系统的稳定和安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值