selinux

最新推荐文章于 2020-11-26 12:27:24 发布
最新推荐文章于 2020-11-26 12:27:24 发布
阅读量152 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44490853/article/details/87858480
版权

1.定义

	selinux是内核级加强型火墙

2.selinux支持的三种模式

	getenforce
	enforcing ##强制开启 会警告你也会拒绝你
	permissive ##警告开启,会警告但不会拒绝
	disabled ##关闭

3.切换模式

	开启和关闭模式切换,需要重新启动
	两种开启模式可以相互转换,不需要重启动
	setenforce 0 ##警告
	setenforce 1 ##警告并拒绝

4.selinux对程序的影响

selinux对程序的影响:开启之后会给每一个文件加载一个标签
安全上下文 pubic_content
程序的安全上下文和文件的安全上下文是匹配的,才可以访问
程序的安全上下文和文件的安全上下文是不匹配,否则访问失败

	vim /etc/sysconfig/selinux
	selinux模式设置为disabled
	touch /mnt/westosfile
	mv /mnt/westosfile /var/ftp
	lftp 172.25.254.219
	ls 可以看到westosfile

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
重启后查看
在这里插入图片描述

	vim /etc/sysconfig/selinux 设置成enforcing

在这里插入图片描述
重启后查看
在这里插入图片描述

	touch /mnt/westosfile1
	mv /mnt/westosfile2 /var/ftp
	lftp 172.25.254.219
	ls 可以看不到westosfile1

在这里插入图片描述
但是westosfile1确实存在
在这里插入图片描述
查看程序的上下文是否和目录上下文匹配
在这里插入图片描述
文件初始selinux上下文通常是父目录。将父目录的上下文指定给新创建的文件

	cd /var/ftp
	touch file
	ls -Z
	file 上下文是public_content_t

在这里插入图片描述

	touch /mnt/file
	ls -Z /mnt/file
	/mnt/file 上下文是mnt_t

在这里插入图片描述

	ls -Z
	westosfile1 的上下文是mnt_t

在这里插入图片描述

	chcon -t public_content_t westosfile1
	##临时修改文件westosfile1的上下文
	ls -Z
	westosfile2 的上下文变成public_content_t

在这里插入图片描述

	vim /etc/vsftpd/vsftpd.conf ##修改配置文件
	anon_root=/ftphome ##匿名用户登陆的家目录修改为/ftphome

在这里插入图片描述
在这里插入图片描述
lftp 172.25.254.119 ##匿名用户登陆
ls没东西
在这里插入图片描述

	ls -Zd /ftphome/ ##/ftphome/的上下文是default_t

在这里插入图片描述

	chcon -t public_content_t /ftphome/ -R
	##临时更改/ftphome/的安全上下文
	ls -Zd /ftphome/ ##/ftphome/的上下文是public_content_t

在这里插入图片描述
lftp 172.25.254.119##匿名用户登陆
ls 可以看见里边东西
在这里插入图片描述
查看临时设定的话重启之后是否文件的上下文改变

	vim /etc/sysconfig/selinux
	SELINUX=disbaled ##由原来的enforcing修改成disbale
	reboot

在这里插入图片描述

vim /etc/sysconfig/selinux
SELINUX=enforcing ##由原来的disbale修改成enforcing
reboot

在这里插入图片描述
reboot ##重启两次

lftp 172.25.254.177 ##匿名用户登陆
ls没东西 ##说明它是临时设定
在这里插入图片描述

ls -Zd /ftphome ##显示/ftphome的上下文是default_t
ls -Zd /var/ftp ##显示/var/ftp的上下文是public_content_t
在这里插入图片描述

匿名用户默认登陆/var/ftp时安全上下文匹配允许用户查看里边信息,那么如果修改/ftphome的安全上下文为public_content_t使得用户也可以查看/ftphome里边的信息。但是重起后失效

永久设定
查看/var/ftp安全上下文是如何永久设定的
在这里插入图片描述
永久更改/ftphome的安全上下文
semanage fcontext -a -t public_content_t ‘/ftphome(/.*)?’
restorecon -RvvF /ftphome ##读取里边内容使得永久设定生效
在这里插入图片描述
重启可以看到永久设定生效
在这里插入图片描述
selinux对服务的影响

对服务的影响:加程序的功能开关
getsebool 用于显示布尔值,setsebool用于修改布尔值
setsebool
getsebool -a | grep ftp

警告模式下匿名用户可以上传
setenforce 0 设置为警告模式
在这里插入图片描述
vim /etc/vsftpd/vsftpd.conf
匿名用户上传权限开启 服务允许
在这里插入图片描述
在这里插入图片描述

	chgrp ftp /var/ftp/pub/
	chmod 775 /var/ftp/pub修改权限

在这里插入图片描述

	lftp 172.25.254.219
	cd pub/
	put /etc/passwd 可以上传

在这里插入图片描述
强制模式下匿名用户不可以上传
setenforce 1 设置为强制模式
在这里插入图片描述

	lftp 172.25.254.219
	cd pub/
	put /etc/group
	553报错不可以上传

在这里插入图片描述
getsebool -a | grep ftp
在这里插入图片描述

setsebool -P ftp_anon_write on ##打开匿名用户上传功能开关 ,-P 永久开启

在这里插入图片描述

lftp 172.25.254.219
cd pub/
put /etc/group
553报错不可以上传

在这里插入图片描述

ls -Zd /var/ftp/pub/

在这里插入图片描述
chcon -t public_content_rw_t /var/ftp/pub/ ##原来是只读,修改成可写可读
在这里插入图片描述

lftp 172.25.254.219
cd pub/
put /etc/group ##上传成功

在这里插入图片描述
发生错误查看日志

/var/log/audit/audit.log 提供问题出在哪里
/var/log/messages 专门分析前面日志,提供解决方案
清空日志
清空日志:>/var/log/audit/audit.log
清空日志:>/var/log/messages
touch /mnt/file
mv /mnt/file /var/ftp

在这里插入图片描述

cat /var/log/audit/audit.log ##提供问题出在哪里

在这里插入图片描述

cat /var/log/messages ## 专门分析前面日志,提供解决方案

在这里插入图片描述

rpm -qa | grep settroubleshoot ##查看提供解决方案的软件
weixin_44490853
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
移动安全系列 - SELinux发行版的支持
byhankswang
11-06 1214
SELinux发行版的支持 SELinux包含稳定版本/开发版本/历史版本。稳定版和开发版已经不再由NSA官方网站维护了,而是由Linux内核社区来维护;除了稳定版和开发版,SELinux早期的历史版本已经不在维护了,但是可以用来做参考。在Linux Kernel之外,把SELinux作为Open Source Project的的官方支持是 :http://selinuxproject.org/
LINUX中错误 SELinux is disabled
热门推荐
oldmonk
07-13 1万+

 解决: setenforce: SELinux is disabled
 那么说明selinux已经被彻底的关闭了
 如果需要重新开启selinux,请按下面步骤:
 
 vi /etc/selinux/config
 更改为:SELINUX=1
 
 
 必须重启linux,不重启是没办法立刻开启s...
selinux= 为 disabled_微课 | 状态管理 SELinux(2)
weixin_39955351的博客
11-26 302
前导课程:微课 | 隔离机制 - SELinux(1)本次微课将学习SELinux的状态管理,包括视频+文字,大约需要你16分钟。另外,文末还有一则IT冷笑话,学习之余、会心一笑:)SELinux有三种状态:enforcing 强制模式,阻止违反规则的行为并记录到日志中permissive 宽容模式,不阻止违反规则的行为,仅记录到日志中disabled 关闭SELinux获得状态信息1 ...
centos7 关闭防火墙和selinux
qq_42750363的博客
09-18 6280
一、关闭防火墙 1、临时关闭(下次开机启动,自动启动防火墙) [root@localhost ~]# systemctl stop firewalld 2、查看防火墙状态 [root@localhost ~]# systemctl status firewalld 3、永久关闭防火墙(开机启动时不在启动) [root@localhost ~]# systemctl disable firewalld 二、关闭SElinux 1、查看se
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
SELinux中保护进程间通信
07-09
### 在SELinux中保护进程间通信 #### 引言 随着现代计算技术的发展,系统安全变得日益重要。其中,强制访问控制(Mandatory Access Control, MAC)机制是实现安全系统的关键组成部分之一。在安全系统设计中,对...
selinux= 为 disabled_Selinux安全加固
weixin_39782752的博客
11-26 1482
Selinux介绍SELinux:Security-Enhanced Linux, 是美国国家安全局(NSA=TheNational Security Agency)和SCC(Secure ComputingCorporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布, Linux内核版本后集成在内核中DAC:Discretionary Acces...
selinux= 为 disabled_使用semanage管理SELinux安全策略
weixin_39850331的博客
11-26 207
Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映射到SELinux用户身份以及对象(如网络端口,接口和主机)的安全上下文映射。简介Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映射到SELinux用户身份以及对象(如网络端口,接口和主机)的安全上下文映射。实验环境Ce...
selinux= 为 disabled_理解Linux下的SELinux
weixin_39631316的博客
11-26 3419
理解Linux下的SELinux长久以来,每当遇到授权问题或者新安装的主机,我的第一反应是通过setenforce 0命令禁用SELinux,来减少产生的权限问题,但是这并不是一个良好的习惯。这篇文章尝试对SELinux的基本概念和用法进行简单介绍,并且提供一些更深入的资料。Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Li...
samba
好记性不如烂笔头
10-01 1292
一、启动服务 [root@server03 etc]# service smb start Starting SMB services:                                     [  OK  ] [root@server03 etc]# service nmb start Starting NMB services:                     
selinux 状态修改为disabled
wuweiweinanjing的专栏
10-24 6869
cd /etc/selinux cat config |sed "s/\(SELINUX=\).*/\1disabled/" >b mv b config
selinux= 为 disabled_SELINUX工作原理
weixin_39772566的博客
11-26 2885
1. 简介SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。 Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security ...
在C++项目中集成代码文档工具:提升开发效率与代码质
最新发布
09-08
在现代软件开发过程中,代码文档是不可或缺的一部分。它不仅帮助开发者理解代码逻辑和结构,还有助于维护和后续开发。C/C++作为广泛使用的编程语言,拥有多种工具可以帮助开发者自动生成代码文档。本文将详细介绍如何在C/C++项目中集成代码文档工具,包括工具的选择、配置以及如何通过少量代码实现自动化文档生成。 集成代码文档生成工具到C/C++项目中,可以显著提高开发效率和代码质量。通过自动化的文档生成,开发者可以专注于代码本身,而不是繁琐的文档编写工作。Doxygen和Sphinx是两个非常强大的工具,可以根据项目需求和团队偏好进行选择。通过遵循上述步骤,你可以轻松地将这些工具集成到你的C/C++项目中,从而实现高效的文档管理和维护。
SELinux管理与配置指南
"这篇文档是关于SELinux的详细操作手册,涵盖了从基础概念到实际运用的多个方面,适合对Linux系统安全感兴趣的读者学习。" SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值