Linux之SELinux

最新推荐文章于 2021-06-26 09:55:31 发布
最新推荐文章于 2021-06-26 09:55:31 发布
阅读量174 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46146755/article/details/104470720
版权

文章目录


准备工作:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

1、selinux功能

selinux关闭状态:

在/mnt/中建立文件,文件安全上下文为空,文件被移动到ftp默认发布目录中可以被访问
ftp程序安全上下文为空
用户可以上传文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

当selinux开启以上功能操作均失败
selinux:内核级加强型火墙
selinux功能:
1)当selinux开启会给系统中的每一个文件及每一个程序加载安全上下文,特定安全上下文的程序只能访问特定安全上下文的文件
2)当selinux开启会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态以保证服务安全性,当需要此功能时需要超级用户手动调节

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、selinux状态

selinux状态查看getenforce
状态类型:

disabled      #关闭
enforing      #强制
permissive    #警告

setenforce      #0表示警告模式,1表示强制模式

selinux开关:
vim /etc/sysconfig/selinux
SELINUX=selinux的状态

reboot         #当Disabled<——>enforcing/permissive都需要重启系统

在这里插入图片描述

在这里插入图片描述

3、安全上下文

安全上下文的临时更改

chcon -t 安全上下文 文件
chron -R -t 安全上下文 目录
chcon -t public_content_t /var/ftp/westoslinuxfile 
lftp访问服务器会发现此文件可被访问成功

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

reboot

在这里插入图片描述
在这里插入图片描述

reboot

在这里插入图片描述
永久更改目录或文件的安全上下文

mkdir /ftpuserdir/westosdir
设定westos用户登录ftp服务时默认家目录为/ftpuserdir
当用westos用户登录ftp时/ftpuserdir中的内容无法访问,因为selinux安全上下文不匹配
semanage fcontext -l | grep ftpuserdir       #内核安全上下文列表中无信息
semanage fcontext -a -t public_content_t /ftpuserdir'(/.*)?'    #(/.*)?表示目录中将要出现的内容,此条命令只添加列表信息当前不生效
restorecon -RvvF /ftpuserdir/    		#刷新文件安全上下文

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4、SEBOOL

SEBOOL:
selinux对服务功能能添加的开关

getsebool -a | grep ftp      		#查看ftp的功能开关
setsebool -P ftpd_anon_write=1/on	#表示开启匿名用户写的功能

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5、SETROUBLE

dnf install setroubleshoot-3.3.19-1.el8.x86_64 -y
sealert -a  /var/log/audit/audit.log 		#分析日志并提供解决方案

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Pumpkin-_-
关注
LinuxSELinux的介绍以及用法
小橙子的笔记屋
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
Linuxselinux安全上下文
Ying_smile的博客
10-13 600
查看selinux安全上下文:ls -Z [root@localhost ~]# touch /var/ftp/hellohello 新建文件测试 [root@localhost ~]# ls /var/ftp/ 查看目录ftp中的内容 hellohello pub [root@localhost ~]# touch /mnt/haha1 [root@localhost ~]# mv /mnt/haha1 /var/ftp/haha1 #复制是新建的过程,移动是重命名的过程,文件系统权限和属性不会改
SElinux
一颗红小豆
05-06 979
内核级别的加强防火墙 selinux三种状态: 强制enforcing,警告permissive,关闭disabled 将某个文件移动到/var/ftp下, ls -Z /var/ftp ##可以看到有问号 修改完配置文件selinux=enforcing后,reboot(时间长耐心等待哦) ls -Z /var/ftp ##可以看到安全上下文,不一样的安全上下文不能在lftp服务中看到,ftp...
LInux基础——SELINUX
weixin_41927237的博客
05-17 325
        SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制      在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 ,并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之在于 , 若要访问文件 ,你必须具有普通访问权限和 SELINUX 访问权限。因...
linux学习之SElinux
Running_No_Ending的博客
02-26 361
1、修改http服务:html下的文件本身是可以访问的,如果从其他地方复制一个文件到html目录下且selinux开启状态下该文件是不能够被访问的,因为上下文不同,需要修改上下文。查看selinux状态:getenforce设置selinux状态:setenforce(如果状态转换前后有disabled则需要重启)查看上上下文:ls -Z修改方法:chcon -t context file--临时...
selinux详解及配置文件
co1590的博客
06-26 2644
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ; 如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。 DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制。Root有最高权限无法限制。r,w,x权限划分太粗糙。无法针对不同的进程实现限制。 Selinux
SELinux配置文件(/etc/selinux/config)
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-07 2422
我们知道,SELinux 是预先配置的,可以在不进行任何手动配置的情况下使用 SELinux 功能。然而,一般来说,预先配置的 SELinux 设置很难满足所有的 Linux 系统安全需求。 SELinux 配置只能有 root 用户进行设置和修改。配置和策略文件位于 /etc/selinux 目录中,主配置文件位 /etc/selinux/config 文件,该文件中的内容如下: [r...
关闭selinux LinuxSELinux的开启、关闭
07-05
SELinux 是Security-Enhanced Linux 的简写,意指安全增强的linux。它不是⽤来防⽕墙设置的。但它对Linux系统的安全很有⽤。Linux内核 (Kernel) 从2.6就有了SELinuxSELinux是内置在许多GNU / Linux 发⾏版中的...
linuxselinux
weixin_45674039的博客
10-29 176
什么是selinux > selinux是一种控制服务安全,是内核上面的一个插件,也叫做内核加强型火墙 SELinux(Security-Enhanced > Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 > NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中...
linuxselinux强制访问控制
Ying_smile的博客
05-16 5145
selinux selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
Linux SELinux
Null的博客
12-13 1178
  SELinux(Security Enhanced Linux) 系统资源都是通过进程来读取更改的,为了保证系统资源的安全,传统的Linux使用用户、文件权限的概念来限制资源的访问,通过对比进程的发起用户和文件权限以此来保证系统资源的安全,这是一种自由访问控制方式(DAC);但是随着系统资源安全性要求提高,出现了在Linux下的一种安全强化机制(SELinux),该机制为进程和文件加入了除...
/etc/sysconfig/selinux 配​置​文​件​————相关介绍
zjt289198457的专栏
10-09 6498
/etc/sysconfig/selinux 配​置​文​件​ 在 红帽企业 Linux下​,可​以​使​用​两​种​方​法​来​配​置 SELinux:使​用 安全级别配置工具 (system-config-securitylevel) 或​手​动​编​辑​配​置
linux 远程软件se,chcon---selinux控制设置
weixin_39946313的博客
05-05 127
chcon命令:修改对象(文件)的安全上下文。比如:用户:角色:类型:安全级别。命令格式:Chcon [OPTIONS…] CONTEXT FILES…..Chcon [OPTIONS…] –reference=PEF_FILES FILES…说明:CONTEXT 为要设置的安全上下文FILES 对象(文件)--reference 参照的对象PEF_FILES 参照文件上下文FILES ...
RK3326 修改 selinux 属性为Permissive
开发界里的一股清流
07-02 2233
一般有三种方法 方法一 文件:device\rockchip\rk3326\rk3326_evb\parameter.txt 添加代码(红色部分) CMDLINE:androidboot.selinux=permissive mtdparts=rk29xxnand:0x00002000@0x00004000(uboot), 方法二 文件:system\core\init\init.c...
selinux限制linux程序运行,SELinux进阶篇 应用目标策略管理非限制进程和用户
weixin_30895059的博客
05-06 445
非限制的进程运行在非限制域中。比如,init进程运行在非限制的initrc_t域中,非限制的kernel进程运行在kernel_t域中,非限制的用户运行在unconfined_t域中。对于非限制的进程,SELinux策略规则仍然适用...一、管理非限制进程非限制的进程运行在非限制域中。比如,init进程运行在非限制的initrc_t域中,非限制的kernel进程运行在kernel_t域中,非限制的...
Word中数据的计算.pdf
最新发布
10-11
Word中数据的计算.pdf
Microsoft Project Portfolio Server 2007 Datasheet_CN_Final.doc
10-11
Microsoft Project Portfolio Server 2007 Datasheet_CN_Final.doc
Linux启用SELinux
09-14
Linux Security Enhanced Linux (SELinux) 是一种强制访问控制(MAC)的安全模块,它增强了系统的安全性,通过将用户、进程和其他系统实体分配到安全上下文中(也称作“角色”),限制它们之间的交互。为了在Linux上启用SELinux,你需要按照以下步骤操作: 1. **安装SELinux**:如果你的系统已经预装了SELinux,可以直接跳到下一步;如果没有,可以使用包管理器如`yum`或`apt-get`安装,例如在CentOS/RHEL上:`sudo yum install selinux-policy-targeted`。 2. **配置SELinux状态**:检查当前状态,一般有`enforcing`, `permissive` 和 `disabled`三种模式。若需启用,可以修改 `/etc/selinux/config` 文件,将 `SELINUX=enforcing` 或 `SELINUX=permissive` 设置为 `SELINUX=enforcing`,然后重启系统使设置生效。 3. **启动并加载内核模块**:运行命令 `semodule -i` 来初始化SELinux,这会加载必要的内核模块。 4. **验证和设置文件系统权限**: SELinux 可能需要你对某些文件系统或目录设置额外的规则,使用 `chcon` 命令调整权限。 5. **管理策略模块**:SELinux 安全策略由一组二进制文件组成,可通过 `semanage` 工具创建、编辑和删除策略。 6. **审核和日志**:为了监控和调试SELinux,可以配置审计规则和设置日志记录,使用 `auditctl` 和 `setsebool` 命令。 注意,对于首次使用,建议先在非生产环境中测试和了解 SELinux 的影响,因为它可能会改变默认的行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值