selinux

最新推荐文章于 2021-06-26 09:55:31 发布
最新推荐文章于 2021-06-26 09:55:31 发布
阅读量194 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45303972/article/details/99489354
版权
本文介绍了SELinux的基本概念,如强制访问控制策略和安全上下文,并详细讲解了如何查看和更改SELinux状态。通过实际操作展示了如何临时和永久修改文件的安全上下文,以及如何管理SELinux的布尔值以允许或禁止特定功能。此外,还讨论了如何监控和解决SELinux冲突,包括使用setroubleshoot工具和分析审计日志。
摘要由CSDN通过智能技术生成

selinux查看状态更改

  1. selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文
  2. selinux影响
  • 程序访问文件
  • 程序访问功能,进程本身功能,开关
  1. 查询selinux状态
    命令:getenforce #查询结果有3种状态
  • enforcing #如果违反了策略,无法继续操作,表示强制
  • disabled #禁止
  • permissive #selinux有效,即是违法策略,依旧可以继续操作,但是会有警告,查看警告信息:cat /var/log/audit/audit.log
  1. 更改selinux状态
  • vim /etc/sysconfig/selinux #文件编辑
  • reboot #重启
    [root@localhost ~]# getenforce
    Disabled
    [root@localhost ~]#vim /etc/sysconfig/selinux #修改selinux=Enforcing
    [root@localhost ~]#reboot #重启
    [root@localhost ~]# getenforce
    Enforcing
  1. 临时改变selinux状态
  • setenforce 0 | 1 #临时改变selinux状态,其中0表示警告模式;1表示强制模式
  • getenforce 查看状态
    • Permissive #警告模式,警告不被拒绝
    • Enforcing #强制模式,拒绝并且警告
      [root@localhost ~]# setenforce 0
      [root@localhost ~]# getenforce
      Permissive
      [root@localhost ~]# setenforce 1
      [root@localhost ~]# getenforce
      Enforcing

selinux安全上下文管理

  • 做selinux安全上下文时首先需要开启vsftpd,关闭firewalld

[root@localhost ~]# systemctl restart vsftpd
[root@localhost ~]# systemctl enable vsftpd
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
rm ‘/etc/systemd/system/basic.target.wants/firewalld.service’
rm ‘/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service’

  1. 安全上下文
  • ls -Z #查看文件的安全上下文
  • semanage fcontext -l #内核指定的所有文件的安全上下文的列表 ; 查看文件安全上下文(man semanage fontext)
    服务端:
    [root@localhost ~]# touch /mnt/haha1
    [root@localhost ~]# mv /mnt/haha1 /var/ftp/haha1 复制是新建的过程,移动是重命名的过程,文件系统权限和属性不会改变
    [root@localhost ~]# getenforce
    Enforcing
    [root@localhost ~]# cd /var/ftp
    [root@localhost ftp]# ls -Z
    -rw-r–r--. root root unconfined_u:object_r:mnt_t:s0 haha1 安全上下文为mnt_t
    -rw-r–r--. root root system_u:object_r:public_content_t:s0 hellohello 安全上下文为public_content_t
    drwxr-xr-x. root root system_u:object_r:public_content_t:s0 pub
    [root@localhost ftp]# semanage fcontext -l | grep /var/ftp 内核记录的/var/ftp的安全上下文
    /var/ftp(/.)? all files system_u:object_r:public_content_t:s0
    /var/ftp/bin(/.    )? all files system_u:object_r:bin_t:s0
    /var/ftp/etc(/.)? all files system_u:object_r:etc_t:s0
    /va
最低0.47元/天 解锁文章
牛昊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
root安全selinux
02-03
selinux 安全设置详解,及相关应用时的处理
SELINUX
weixin_52222937的博客
04-02 1268
SELINUX
临时设置 selinux
weixin_30681615的博客
06-09 250
setenforce 0 ##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 转载于:https://www.cnblogs.com/lanhuan/p/4562967.html...
【RabbitMQ】——centos7安装rabbitmq教程
qq_40006446的博客
10-12 506
原文链接:https://blog.csdn.net/hao134838/article/details/71512557 引言   消息队列现在在互联网项目中应用的还是非常多的,在接下来的博客中小编会深入的了解MQ的实现过程,在此博客中将介绍如何在centos7下面安装MQ以及遇到的问题。   第一步:安装Erlang   因为rabbitMQ是Erlang语言编写的,所以我们首先需要安...
systemd
a624731186的专栏
03-31 3506
systemd是Linux下的一种init软件,由Lennart Poettering带头开发,并在LGPL 2.1及其后续版本许可证下开源发布。其开发目标是提供更优秀的框架以表示系统服务间的依赖关系,并依此实现系统初始化时服务的并行启动,同时达到降低Shell的系统开销的效果,最终代替现在常用的System V与BSD风格init程序。    传统的System V是串行启动,即在
SELinux手册 电子书 pdf 英文
最新发布
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
SELinux.zip
05-25
**SELinux:安全增强型Linux** SELinux,全称为Security-Enhanced Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,为用户提供了一种更为精细的权限管理机制。...
临时和永久关闭Selinux
xin_y的专栏
01-08 14万+
临时关闭: [root@localhost ~]# getenforce Enforcing [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce Permissive 永久关闭: [root@localhost ~]# vim /etc/sysconfig/selinux SELINUX
selinux详解及配置文件
co1590的博客
06-26 2581
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ; 如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。 DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制。Root有最高权限无法限制。r,w,x权限划分太粗糙。无法针对不同的进程实现限制。 Selinux
SELinux: root 进程需要申请capability permissions吗?
黑山老妖
08-06 5299
结论先结论:Android中的root进程,在使用到capability时,也需要在sepolicy中定义 allow capability规则,以申请capability permissions。 备注:如果不引入SELinux,例如在Ubuntu环境下,capability的主要作用不是对root进程本身直接施加限制,而是:通过授予最小的capability,使需要特权操作的程序,可以在非r
Linux中SELINUX状态的巨大影响
qq_39376481的博客
02-12 2441
1.基本SELINUX安全性概念 SELINUX(安全性增强型linux,内核型的加强性防火墙)是可保护系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权,SELINUX的另一个不同之处在于若要访问文件,必须具有普通访问权限和SELINUX访问权限。因此,即使以超...
selinux 安全机制 运行模式切换
潘飞龙的博客日记
12-24 1086
1.selinux 模式 enforcing (强制执行) permissive(宽松) disabled (彻底禁用) 2.查看系统状态 [root@room4pc09 桌面]# getenforce Disabled 3.修改临时模式,重启后恢复到默认状态 [root@room4pc09 桌面]# setenforce 0 #切换为permissive(宽松)模式 [root@ro...
centos7 无法启动网络(service network restart)错误解决办法
热门推荐
zkja595470467的博客
11-02 20万+
centos7 无法启动网络(service network restart)错误解决办法: (以下方法均为网上COPY,同时感谢原博主分享) systemctl status network.service 出现以下错误 “rtnetlink answers file exists” 的解决方法 第一种: 和 NetworkManager 服务有冲突,这个好解决,直接关闭
Nginx+Center OS 7.2 开机启动设置(转载)
weixin_30776545的博客
09-13 412
centos 7以上是用Systemd进行系统初始化的,Systemd 是 Linux 系统中最新的初始化系统(init),它主要的设计目标是克服 sysvinit 固有的缺点,提高系统的启动速度。关于Systemd的详情介绍在这里。 Systemd服务文件以.service结尾,比如现在要建立nginx为开机启动,如果用yum install命令安装的,yum命令会自动创建nginx.serv...
Ubuntu上,tftpd-hpa 启动失败的解决方法.
Wenxy's computer science technology blog
02-28 1万+
Ubuntu 9.04有时出现启动tftp服务(tftpd-hpa)失败, 查看系统日志:#tail /var/log/syslog知道tftp启动失败的原因是: cannot bind to local socket: Address already in use.修改tftp配置文件: #vi /etc/default/tftpd-hpa指定地址和端口,端口号不要被占用即可, 例如:-a 192.168.1.31:12345重启tftp服务:#/etc/init.d/tftpd-hpa startTha
mysql 启动时失败
hamztx的专栏
03-16 9296
使用 # yum install mysql-server mysql 安装成功后,启动mysql 服务,使用 # systemctl start mysqld.service  可是 会有如下问题Job for mysqld.service failed. See 'systemctl status mysqld.service' and 'journalctl -xn' f
SELinux管理与配置指南
"这篇文档是关于SELinux的详细操作手册,涵盖了从基础概念到实际运用的多个方面,适合对Linux系统安全感兴趣的读者学习。" SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值