selinux

已于 2022-07-27 14:23:15 修改
阅读量2.7k 收藏 1
点赞数
文章标签: 云计算
于 2022-01-14 21:35:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44989941/article/details/122488822
版权

下载链接

SEL Linux  概述

-美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系

-集成到Linux内核中

SEL Linux的运行模式

-enforcing(强制)、permissive(宽松)

-disabled(彻底禁用)

切换运行模式

        -临时切换:setenforce 1|0

-固定配置:/etc/sel inux/config 文件

操作:

        虚拟机A:

[root@svr7 ~]# getenforce       #查看当前运行模式
Enforcing
[root@svr7 ~]# setenforce 0          #修改当前运行模式
[root@svr7 ~]# getenforce
Permissive
[root@svr7 ~]# vim /etc/selinux/config
SELINUX=permissive

        虚拟机B:


[root@pc207 ~]# getenforce
Enforcing
[root@pc207 ~]# setenforce 0
[root@pc207 ~]# getenforce
Permissive
[root@pc207 ~]# vim /etc/selinux/config
SELINUX=permissive

重设root用户密码

破解root密码思路

前提:必须是服务器的管理者,涉及重启服务器

1)重启系统进入恢复模式(救援模式)

       重启后上下键停留在此界面

 按 e 键进入

 

 

ctrl + x 启动,会看到switch_root:/#

2)切换到硬盘操作系统环境

# chroot    /sysroot      #切换环境,切换到硬盘操作系统的环境

3)重新设置root的密码

sh-4.2# echo   1    |    passwd   --stdin    root

4)如果SELinux是强制模式才需要重设SELinux策略(其他模式不需要做此操作

sh-4.2# vim /etc/selinux/config #查看SELinux开机的运行模式

sh-4.2# touch   /.autorelabel    #让SELinux失忆

5)强制重启系统完成修复        

sh-4.2# reboot   -f

 

 

 然后 reboot -f 强制重启

修复完成 

构建基本服务

构建Web服务:

Web服务:提供一个页面内容的服务

提供Web服务的软件:httpd、Nginx、tomcat

http协议:超文本传输协议

1.在虚拟机svr7安装httpd软件包:

[root@svr7 ~]# yum -y install httpd
 

2.运行提供Web服务程序

]#  > /etc/resolv.conf     #清空此文件内容

]# /usr/sbin/httpd         #绝对路径运行程序

]# pgrep  -l  httpd          #查看进程信息

[root@svr7 ~]# cat /etc/resolv.conf

[root@svr7 ~]#
[root@svr7 ~]# > /etc/resolv.conf
[root@svr7 ~]# /usr/sbin/httpd
[root@svr7 ~]# pgrep -l httpd
4614 httpd
4615 httpd
4616 httpd
4617 httpd
4618 httpd
4619 httpd

4.书写一个页面文件        

[root@svr7 ~]#vim  /var/www/html/index.html

阳光明媚NSD2108

5.浏览器访问测试

 [root@svr7 ~]# curl   http://192.168.4.7

阳光明媚NSD2108

例:

[root@svr7 ~]# vim /var/www/html/index.html           #写入页面文件
[root@svr7 ~]# cat /var/www/html/index.html              #查看文件内容
程序猿在爬长城

[root@svr7 ~]# curl http://192.168.4.7         #192.168.4.7是自己主机的地址
程序猿在爬长城

如果程序无法运行:

[root@svr7 ~]# yum -y reinstall httpd   #重新安装一遍

在虚拟机浏览器中输入地址访问

 构建FTP服务

        FTP:文本传输协议

实现FTP服务功能的软件:vsftpd

默认共享数据的主目录:/var/ftp

[root@svr7 ~]# yum -y install vsftpd      #安装FTP包


[root@svr7 ~]# /usr/sbin/vsftpd       #启动程序
[root@svr7 ~]# pgrep -l vsftpd         #查看
5277 vsftp

 
[root@svr7 ~]# curl ftp://192.168.4.7     #访问

 在虚拟机A浏览器访问:

防火墙策略管理

防火墙的策略管理

作用:隔离,严格过滤入站,放行出站

硬件防火墙

软件防火墙

  • 系统服务:firewalld----》iptables(底层防火墙)
  • 管理工具:firewall-cmd、firewall-config

  • 根据所在的网络场所区分,预设区域
    • public:仅允许访问本机的ssh、dhcp、ping服务
    • trusted:允许任何访问
    • block:拒绝任何来访请求,明确拒绝客户端
    • drop:丢弃任何来访的数据包,不给任何回应

  • 防火墙判定原则:

1.查看客户端请求中来源IP地址,查看自己所有区域中规则,那个区域中有该源IP地址规则,则进入该区域

2.进入默认区域(默认情况下为public)

  1. 防火墙默认区域的修改

虚拟机A

]# firewall-cmd  --get-default-zone    #查看默认区域

虚拟机B

]# curl   http://192.168.4.7    #失败

]# curl   ftp://192.168.4.7      #失败

]# ping -c 2 192.168.4.7        #成功

虚拟机A:修改默认区域

]# firewall-cmd   --set-default-zone=trusted

虚拟机B

]# curl   http://192.168.4.7    #成功

]# curl   ftp://192.168.4.7    #成功

  1. 防火墙public区域添加规则

虚拟机A:添加允许的协议

]# firewall-cmd  --set-default-zone=public

]# firewall-cmd  --zone=public    --add-service=http  

]# firewall-cmd  --zone=public   --list-all

虚拟机B

]# curl   http://192.168.4.7    #成功

]# curl   ftp://192.168.4.7      #失败

虚拟机A:添加允许的协议

]# firewall-cmd  --zone=public    --add-service=ftp

]# firewall-cmd --zone=public  --list-all

虚拟机B

]# curl   http://192.168.4.7    #成功

]# curl   ftp://192.168.4.7    #成功

  1. 防火墙public区域添加规则(永久)

-永久(--permanent)

]# firewall-cmd  --reload  #加载防火墙永久策略

]# firewall-cmd  --zone=public   --list-all

]# firewall-cmd  --permanent    --zone=public     --add-service=http

]# firewall-cmd  --permanent    --zone=public     --add-service=ftp

]# firewall-cmd  --zone=public   --list-all

]# firewall-cmd  --reload  #加载防火墙永久策略

]# firewall-cmd  --zone=public   --list-all

实操:

A:
[root@svr7 ~]# firewall-cmd --get-default-zone
public

B:
[root@pc207 ~]# curl http://192.168.4.7
curl: (7) Failed connect to 192.168.4.7:80; 没有到主机的路由
[root@pc207 ~]# curl ftp://192.168.4.7
curl: (7) Failed connect to 192.168.4.7:21; 没有到主机的路由
[root@pc207 ~]# ping -c 2 192.168.4.7
PING 192.168.4.7 (192.168.4.7) 56(84) bytes of data.
64 bytes from 192.168.4.7: icmp_seq=1 ttl=64 time=0.289 ms
64 bytes from 192.168.4.7: icmp_seq=2 ttl=64 time=0.481 ms

此时防火墙默认只支持 ssh dhcp ping 操作,其他操作全部拒绝

修改为trusted后:
A:
[root@svr7 ~]# firewall-cmd --set-default-zone=trusted
success
[root@svr7 ~]# firewall-cmd --get-default-zone
trusted


B:
[root@pc207 ~]# curl ftp://192.168.4.7
drwxr-xr-x    2 0        0               6 Aug 03  2017 pub
[root@pc207 ~]# curl http://192.168.4.7
程序猿在爬长城

 添加策略:

A
[root@svr7 ~]# firewall-cmd  --zone=public --add-service=http
success
[root@svr7 ~]# firewall-cmd --zone=public --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: ssh dhcpv6-client http
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

B:
[root@pc207 ~]# curl http://192.168.4.7
程序猿在爬长城
curl: (7) Failed connect to 192.168.4.7:80; 没有到主机的路由
[root@pc207 ~]# curl ftp://192.168.4.7





A:
[root@svr7 ~]# firewall-cmd  --zone=public --add-service=ftp
success
[root@svr7 ~]# firewall-cmd --zone=public --list-all


B:
[root@pc207 ~]# curl ftp://192.168.4.7
drwxr-xr-x    2 0        0               6 Aug 03  2017 pub

防火墙public区域添加永久规则

-永久(-permanent)

[root@svr7 ~]# firewall-cmd --reload
[root@svr7 ~]# firewall-cmd --zone=public --list-all
[root@svr7 ~]# firewall-cmd --permanent --zone=public --add-service=http  #添加策略
[root@svr7 ~]# firewall-cmd --permanent --zone=public --add-service=ftp
[root@svr7 ~]# firewall-cmd --permanent --zone=public --list-all
[root@svr7 ~]# firewall-cmd --reload           #加载永久防火墙策略
[root@svr7 ~]# firewall-cmd --zone=public --list-all
  1. 防火墙单独拒绝PC207所有的访问

[root@svr7 ~]# firewall-cmd --zone=block           --add-source=192.168.4.207

关闭防火墙  

[root@svr7 ~]# systemctl stop firewalld        #停止防火墙
[root@svr7 ~]# systemctl disable firewalld               #禁止开机启动
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.

 服务的管理

用户---》systemd---》服务

•上帝进程:systemd

•Linux系统和服务管理器

–是内核引导之后加载的第一个初始化进程(PID=1)

–负责掌控整个Linux的运行/服务资源组合

•一个更高效的系统&服务管理器

–开机服务并行启动,各系统服务间的精确依赖

–配置目录:/etc/systemd/system/

–服务目录:/lib/systemd/system/

–主要管理工具:systemctl

[root@svr7 ~]# systemctl -t service --all #列出所有的服务

•对于服务的管理(与手动启动有冲突

systemctl  restart    服务名    #重起服务

systemctl   start     服务名      #开启服务

systemctl   stop     服务名      #停止服务

systemctl   status    服务名      #查看服务当前的状态

systemctl  enable   服务名    #设置服务开机自启动

systemctl   disable   服务名   #设置服务禁止开机自启动

systemctl   is-enabled  服务名   #查看服务是否开机自启










[root@svr7 ~]# yum -y install httpd  
[root@svr7 ~]# > /etc/resolv.conf   #清除文件内容
[root@svr7 ~]# killall httpd      #杀死手动启动的httpd
[root@svr7 ~]# systemctl restart httpd   #重启hppd服务
[root@svr7 ~]# systemctl start httpd         #查看服务状态
[root@svr7 ~]# systemctl enable httpd      #设置开机自动启动
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[root@svr7 ~]# systemctl is-enabled httpd       #查看是否开机自动启动
enabled
[root@svr7 ~]# systemctl disable httpd          #关闭开机自动启动    
Removed symlink /etc/systemd/system/multi-user.target.wants/httpd.service.
[root@svr7 ~]# systemctl is-enabled httpd          #查看是否开机自动启动
disabled

晗光HG
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux整理笔记
liguangxianbin的博客
05-25 5127
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
SELinux文档
05-23
SELinux文档详解,系统的介绍了SELinux版本,以及规则语法.入门教程,参考手册.
Linux中的SElinux
weixin_42996595的博客
08-12 353
Linux中的SElinuxSElinuxSElinux
【安全利器SELinux快速入门系列 01】SELinux基础入门_selinux
kenzsoft的博客
05-06 917
进程的主体是进程,客体是被访问的资源。MAC机制的特点在于,资源的拥有者,并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。4MAC强制访问控制的流程大致是上图所示,分为3个步骤主体程序必须要通过 SELinux 政策内的规则放行后,就可以与目标资源进行安全性本文的比对;若比对失败则无法存取目标,若比对成功则可以开始存取目标。最终能否存取目标还是与文件系统的 rwx 权限设置有关。
Linux中的SELINUX介绍
zhandar44的博客
05-09 3648
1、什么是selinuxselinux作为内核型的加强性防火墙,提高对系统的安全保护,通过selinux对系统中的文件和资源添加标签,从而提高安全性 2、selinux安全级别 Disabled 不警告不拒绝 Enforcing...
Linux最后章:selinux
淋巴cell学习py之路
11-09 254
基本 SELINUX 安全性概念 SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 , 你必须具有普通访问权限和 SELINUX ...
Linux学习笔记--SELinux
weixin_44024162的博客
05-26 1031
Selinux SELinux(Security Enhanced Linux 安全增强Linux)是部署在Linux之上的安全增强功能模块。它提供了额外的安全功能,在RHEL 和 Fedora 中被设置为Enforcing模式。Ubuntu使用AppArmor,默认安全增强。 SELinux通过在主体和客体(也被称为进程和资源)上应用RBAC(Role Based Access Control...
selinux-example_SELinux_
09-28
linux selinux development
selinux-te-tester:验证SELinux类型强制
05-02
SELinux类型强制测试器 概念 用自己的过程来验证Type Enforcement是很困难的,因为该过程不会接触不必要的地方,但是验证需要接触这些地方。 但是现在,我们有了一个好主意! Type Enforcement的控件与SELinux域和...
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
SELinux Cookbook
02-02
This book contains numerous chapters on the various aspects of SELinux handling and policy development in a recipe-based approach that allows every person to quickly dive into the details and ...
selinux中文教程
10-06
这份文档是一个SE Linux的简介,可以指导一部分人初步的学会SE Linux。它 涵盖和解释了SE Linux 的各方面的术语,安装和添加用户并且涵盖了一小部分 别的知识。一个更高级的帮助文档将会在不久发布, 包含了如何编辑策略等内容。
SELinux详解中文版
07-21
SELinux详解中文版》对于想要深入了解SELinux的朋友来说绝对是一本好书。这本书本身就是讲解SELinux方面的权威。SELinux代表linux安全方向全新的探索。希望大家喜欢。
selinux的基本功能】
BJZX_OL的博客
11-15 340
selinux的基本功能
LINUXSElinux以及防火墙的关闭
热门推荐
wangxiaofei2006的专栏
11-08 1万+
LINUXSElinux以及防火墙的关闭     1、关闭SELinux的方法:   修改/etc/selinux/config文件中的SELINUX="" 为 disabled ,然后重启。   若不想重启系统,使用命令setenforce 0 注: setenforce 1 设置SELinux 成为enforcing模式 setenforce 0 设置SELinux 成为
Linux永久关闭防火墙 firewalld和sellinux设置
buside的博客
11-24 1245
关闭 firewalld: systemctl stop firewalld #临时关闭 systemctl disable firewalld #永久关闭,即设置开机的时候不自动启动 -------------------------------------- 关闭 selinux: [root@localhost html]# getenforce #查看selinux状态 Permissive [root@localhost html]# setenforce 0 ..
查看SELinux状态及关闭SELinux
字母哥博客
04-16 1万+
一、查看SELinux状态: 1、我们可以通过查看配置文件的命令 cat /etc/selinux/config 来查看状态 [root@lill ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enf
SELinux入门
qq_38483583的博客
03-21 278
如果你在之前的Linux生涯中都禁用或忽略了SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的Linux桌面或服务器之下的SELinux系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 回到Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为Linux内核子系统引入了一个健壮的强制控制访问Mandat
Linux SELinux讲解
m0_49864110的博客
02-25 4224
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
kali selinux
最新发布
05-16
如果您想在Kali Linux中使用SELinux,您需要安装selinux-policy-default软件包,并在/boot/grub/grub.cfg文件中添加“selinux=1 enforcing=1”参数。这将启用SELinux强制模式,并确保SELinux策略在系统引导时正确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值