Linux中SElinux的解决方案

最新推荐文章于 2022-07-25 20:27:31 发布
最新推荐文章于 2022-07-25 20:27:31 发布
阅读量240 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45029822/article/details/103038815
版权

Linux中SElinux的解决方案

SElinux介绍

  • selinux是一种控制服务安全,是内核上面的一个插件,也叫做内核加强型火墙
  • SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统
  • NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
  • SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到
  • SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统
  • 对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的
  • SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念
  • 由于selinux涉及安全上下文的问题,因此会使很多操作的结果不正确,如果要使用selinux,就需要修改对应文件的安全上下文,非常不方便,所以在企业中很少使用

selinux的开关

给虚拟机配置共享yum源
给火墙加上永久允许ftp服务,再使用yum源安装lftp软件

给火墙加上永久允许ftp
在这里插入图片描述

在这里插入图片描述

查看selinux的状态
selinux对服务访问文件以及功能有影响

enforceing与permissive二者可以直接进行切换,但是二者与disabled(关闭selinux)进行切换时要reboot

enforceing强制模式
permissive警告模式
disabled关闭模式

在每不安全的功能上面加功能开关(默认关闭),安全性提高,0关闭,1开启(在/var/ftp/pub/能不能上传文件)

不是服务本身不允许,而是selinux不允许

临时更改安全上下文

开启selinux,开启vsftpd,建立文件/mnt/westos1,并且移动到/var/ftp
在这里插入图片描述

用匿名用户身份登录,可以看到,不能ls 查看到westos1
在这里插入图片描述

但是,/var/ftp/是有westos1文件的
2
在这里插入图片描述

可以看到,/var/ftp/westos1和pub的安全上下文是不一致的
将selinux的级别改为permissive警告模式
在这里插入图片描述

再次连接查看发现可以看到westos1文件
在这里插入图片描述

再次setenforce 1改为强制模式时,就不能看到westos1文件了
2
在这里插入图片描述

chcon -t 安全上下文 文件

chcon -t public_content_t /var/ftp/westos1 #更改westos1的安全上下文与pub一致

在这里插入图片描述

更改了westos1的安全上下文,则可以查看到/var/ftp/westos1

在这里插入图片描述
开启selinux,在ftp服务器上也不能上传文件
在这里插入图片描述

在配置文件里设置允许匿名用户上传文件
3
在这里插入图片描述
在这里插入图片描述

可以看到,不能上传文件
将selinux的状态切换到disabled

在这里插入图片描述
重启
可以看到,匿名用户可以上传
2

永久更改安全上下文

semanage fcontext -l #查看系统默认发布目录设置的标签
2
在这里插入图片描述

建立/westos,在这个目录下创建5个文件
在这里插入图片描述

但是我们自己建立的目录与默认发布目录的标签不一致
semanage fcontext -a -t public_content_t ‘/westos(/.*)?’ #将自己建立的发布目录加上标签(目录里面的内容)
2

在这里插入图片描述

restorecon -RvvF /westos/ #刷新使其生效
2
在这里插入图片描述

ftp功能状态的修改

getsebool -a | grep 服务名称             查看指定服务布尔值
getsebool -a | grep ftp                 查看ftp服务布尔值
setsebool -P 服务 on|off                在这里on=1 off=0
setsebool -P ftpd_anon_write on         打开匿名用户上传功能

在这里插入图片描述
在这里插入图片描述
在没修改到on时,匿名用户不能上传
在这里插入图片描述
在这里插入图片描述

ftpd_anon_write的状态已经修改为on,

chcon -t public_content_rw_t /var/ftp/pub

让匿名用户具有读写这个目录的权力

在这里插入图片描述

在这里插入图片描述
可以看到,匿名用户上传成功
在enforcing状态下,本地用户家目录上传和删除文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到,本地用户可以上传文件

在这里插入图片描述
本地用户可以删除文件

在这里插入图片描述

与selinux相关的日志

/var/log/messagesr                                      系统日志,提供解决方案

/var/audit/audit.log selinux                           真正的日志,不提供解决方案

/var/log/secure                                        查看登陆系统的用户
阿然A
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linuxselinux基础配置教程详解
09-15
SELinux(Security-Enhanced Linux)的简单配置,涉及SELinux的工作模式、配置文件修改、查看和修改上下文信息,以及恢复文件或目录的上下文信息。这篇文章主要介绍了Linuxselinux基础配置,需要的朋友可以参考下
Centos 7 开机一直转圈 提示failed to load SELinux policy freezing的解决方法
LinSeeker85的博客
07-22 5676
在一直转圈停留界面处点击键盘Esc键,即可看到 failed to load SELinux policy. freezing. 解决方法如下: 1、重启系统,进入boot选择系统内核的界面,按e键,找到linux16 那一行,在language 后面 也就是LANG=zh_CN.UTF-8,加上空格,再加上selinux=0。之后按ctrl+x,稍等片刻即可进入系统登录界面; 2、重新进入系统后,yum reinstall selinux-policy-targeted #首先确定你的主机上有无安.
SELINUX修改错误导致开机卡住问题解决
专注数据库、大数据领域干货分享,用严谨的数据技术广交天下朋友。
03-22 1392
今天关闭SELINUX的时候,操作失误,结果导致系统卡住一直启动不了,下面我们来重新模拟一下这个过程并演示解决方案。 1.错误重现 1.1 修改SELINUX sudo vi /etc/selinux/config 1.2 重启服务器,卡住 重启后,服务器启动相比之前异常缓慢,最后卡在白条处,如下: 此时,为了查看后台发生了什么错误,我们同时按住 command+1。显示为SELINUX出了问题: 2.错误解决 这个问题解决起来也简单,首先需要重启,在刚进入如下选择洁面的时候,
账户安全加固
weixin_48190887的博客
07-21 1162
安全加固 长久不用的账号让它识别不出来 [root@localhost ~]# useradd yuheng1 #新建账户 [root@localhost ~]# passwd yuheng1 #设置账户密码 Changing password for user yuheng1. New password: [root@localhost ~]# vi /etc/passwd #查看passwd文件shift+g翻到最底 yuheng1:x:1001:1001::/home/yuheng1:/bin/b.
SELinux权限问题解决方法
weixin_43835637的博客
01-16 1万+
前言 之前做系统应用操作设备节点的时候,出现SELinux权限的问题,即SELinux Policy Exception,查看log可以看到诸如此类的提示 avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=11725 scontext=u:r:untrusted_app:s0:c512,c768 ...
LInux基础——SELinux
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
关闭selinux LinuxSELinux的开启、关闭
最新发布
07-05
SELinux是内置在许多GNU / Linux 发⾏版的主要强制访问控制(MAC)机制。SELinux最初是由犹他州⼤学Flux团队和美国国防部开发的 Flux⾼级安全内核(FLASK) 。美国国家安全局加强了这⼀发展,并将其作为开源软件发布。...
临时/永久关闭Linux下的selinux
01-25
本资源介绍了如何临时关闭selinux、永久关闭selinux的方法
LinuxSElinux以及防火墙的关闭
01-09
 修改/etc/selinux/config文件SELINUX= 为 disabled ,然后重启。  如果不想重启系统,使用命令setenforce 0  注:  setenforce 1 设置SELinux 成为enforcing模式  setenforce 0 设置SELinux 成为...
SElinux解决方案
weixin_45629723的博客
11-14 431
selinux:内核级加强型防火墙 selinux( 安全增强型 Linux ) 是可以保护系统安全性的额外机制。 seliunx开关 更改selinux状态的配置文件 vim /etc/sysconfig/selinux 三种级别控制 SELINUX=enforcing ##强制级别 SELINUX=permissive ##警告级别 SELINUX=disabl...
一键部署某用户ssh后限定在某个目录(更新selinux安全上下文)
11-10
通过chroot方式限制用户ssh登陆后被限定在某个目录,可以用于作一些只读用户,让其只能访问特定目录,并通过目录下其他目录的属主及权限控制方式实现该用户为只读用户。本资源提供一键部署脚本,用户名和目录在脚本可根据需要进行更改。支持redahat7及centos7版本。 2020-11-10 更新selinux安全上下文 有其他问题请留言。
SeLinux问题解决方法
a785722173的博客
03-29 5090
SeLinux问题解决方法 1、确认SeLinux导致的权限问题 1.1 SeLinux的三种状态 SeLinux有三种状态,分别如下: 1、Enforcing:强制模式,表示SeLinux运作当,所有违反其规则的操作都会被阻止执行; 2、Permissive:宽容模式, 表示SeLinux运作当,但不会限制违反其规则的操作,只会给出警告信息; 3、Disable:关闭,SeLinux并没有实...
基于Linux系统的selinux配置
Forever 的博客
05-15 1029
一、selinux简介 selinux称为内核级加强型防火墙;selinux的目的在于明确的指明某个进程可以访问那些资源(文件,网络端口等);selinux是由美国国家安全局(NSA)开发 ,整合到linux内核的一个模块。selinux的主要作用有:针对文件,会对系统每个文件添加安全上下文(context);针对进程会对系统的每个进程添加安全上下文;会在系统服务上设定sebool开关;当进程...
linux 文件添加标签,如何创建自定义SELinux标签
weixin_30759083的博客
04-29 1183
我写了一个服务/单个二进制应用程序,我试图在Fedora 24上运行,它运行使用systemd,二进制文件部署到/ srv / bot我编写的这个服务/应用程序需要在此目录创建/打开/读取和重命名文件.但是当我的应用程序需要重命名时,输出有一个警告:#!!!! WARNING: 'var_t' is a base type.allow init_t var_t:file rename;我goog...
学习 selinux
qq_46094902的博客
02-23 288
selinux 1.selinux的功能 在/mnt下建立安全上下文为空文件file移动到ftp默认发布目录可以被访问,ftp安全上下文为空,用户可以上传文件 当selinux功能没有开启时 当selinux功能开启时 selinux:内核加强型火墙 selinux的功能:当selinux开启时会给系统的每个文件及每个程序加载安全上下文 特定安全上下文的程序...
liunx常用操作
huang_yx005的博客
07-12 131
du-ah--max-depth=1 查看某个文件或目录占用磁盘空间的大小 ls ./ |grep -v XXX |xargs rm 反向选择后删除 cat file | awk -F ' ' '{print NF;}' 计算文件每一行的单词数 cat file | awk -F ' ' '{print NF;}' | awk 'BEGIN {sum=0} ...
查看SELinux状态和设置SELinux
nathan8的博客
02-21 2209
1. 查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [root@localhost ~]# getenforce Enforcing 1.2 /usr/sbin/
SELinux深入理解
热门推荐
MyArrow的专栏
08-09 10万+
1. 简介     SELinux由以下两部分组成:     1) Kernel SELinux模块(/kernel/security/selinux)     2) 用户态工具 1.1 DAC与MAC的关键区别(root用户)       在SELinux(MAC),没有root用户的概念。安全策略是由【管理员】定义,并应用于每一个【进程】和【对象】,没有什么可以替代它。这意味着恶意
linux宽松模式,SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
weixin_36325338的博客
05-12 1574
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换在Android的root相关的文章里经常会看到关于SElinux,Android4.3以后引进SElinux。###SELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux目前 SELinux 支持三种模式,分别如下...
linux samba服务启动smb失败
06-12
以下是一些可能的解决方案: 1. 检查 Samba 配置文件是否正确:首先,检查 `/etc/samba/smb.conf` 文件的语法和拼写错误。确保有正确的共享目录和用户权限设置。您可以使用以下命令检查 Samba 配置文件的语法错误...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值