Selinux内核加强型火墙管理

最新推荐文章于 2022-11-08 03:15:24 发布
最新推荐文章于 2022-11-08 03:15:24 发布
阅读量133 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46492219/article/details/108036874
版权

一、Selinux的状态与管理

1.1 selinux启动方式

vim /etc/selinux/config
selinux=disabled:关闭selinux
selinux=enforcing:开机设定为强制状态,此状态下selinux开启
selinux=permissive:开机设定为警告状态,此状态下selinux开启
selinux的开启与关闭需要重启系统才能更改
enforcing:不符合条件一定不允许,并会收到警告消息
permissive:不符合条件的会被允许,并会收到警告信息

selinux状态查看:getenforce
selinux警告状态与强制状态之间互相转换:
setenforce 0:转换为警告状态
setenforce 1:转换为强制状态
selinux日志的位置:/var/log/audit/audit.log

二、Selinux的功能

2.1 Selinux未开启

Selinux未开启时
匿名用户可以上传文件
在这里插入图片描述
使用ls -Z命令查看文件时显示?
在这里插入图片描述

在mnt下建立文件移动到/var/ftp可以被vsftpd访问

2.2 Selinux开启

Selinux开启后
在这里插入图片描述
ls -Z可以显示?内容
在这里插入图片描述

在这里插入图片描述在mnt下建立文件移动到/var/ftp不可以被vsftpd访问
在这里插入图片描述
在这里插入图片描述
selinux在警告模式下mnt移动的文件显示
在这里插入图片描述

2.3selinux对文件的影响

当selinux开启后,内核对于每个文件与每个开启程序进行标签加载
标签内记录程序和文件的安全上下文
selinux对程序的影响:
当selinux开启后,会对程序功能加载开关,并设定开关状态为关闭如果需要使用该功能需要用sebool启动
在selinux是enforcing状态时:
chcon -t public_content_t 临时修改认证
在这里插入图片描述
在认证修改后,可以看到之前在enforcing状态下无法看到的文件
在这里插入图片描述
touch /.autorelabel 重启selinux为enforcing强制状态
在这里插入图片描述
重启Selinux后之前临时修改的认证复原
在这里插入图片描述

2.4 永久修改安全上下文和添加端口

semanage fcontext -a -t public_content_t '/westos(/.*)?'添加public_content_t
将该认证写入内核,selinux重启后也不会改变
在这里插入图片描述
在这里插入图片描述
semanage fcontext -d -t public_content_t '/westos(/.*)?'删除public_content_t 删除
在这里插入图片描述
将httpd服务端口改为1111后,在Selinux的enforcing强制模式下,文件不符合条件httpd服务不允许重启,在改为警告模式下允许httpd应用重启
在这里插入图片描述
查找允许httpd登录的端口
在这里插入图片描述
将1111端口添加到http_port_t中
semanage -a -t http_port_t -p tcp 1111
1111端口被成功添加到http_port_t中
在这里插入图片描述
添加完毕后,在设定端口为1111时,可以在enforcing模式下重启服务
在这里插入图片描述

2.5 SEBOOL与SEPORT

SEBOOL:
getsebool -a :现实服务的bool值
在这里插入图片描述
setsebool -P ftpd_anon_write on:开启更改
在这里插入图片描述
SEPORT:
semanage port -l | grep http
semanage port -a -t http_port_t -p tcp 1111
在这里插入图片描述
setrouble
/var/log/audit/audit.log:Selinux警告信息
在这里插入图片描述

/var/log/messages:Selinux问题解决方案
在这里插入图片描述

setroubleshoot-server:该软件的功能是将采集到的警告信息分析并得到解决警告的方法存放在message中

Lin~~MY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux中内核加强型火墙管理中的一些常见问题
小螺号的博客
12-02 152
文章目录前言一、Selinux开启后所产生的影响二、Selinux的状态及管理三、Selinux的安全上下文四、SEBOOL开关和SEPORT五、setrouble 前言 内核加强型火墙主要是指系统中的selinux功能,该功能开启时,会对系统中的文件和程序产生影响,用户的一些操作会被限制。 一、Selinux开启后所产生的影响 对于文件的影响: 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载 标签内记录程序和文件的安全上下文(context) 对于程序功能的影响: 当selin
selinux安全上下文的管理及布尔值的设置
myhyyyyyy的博客
05-10 1272
selinux安全上下文的管理 1. ls -Z filename #查看文件的安全上下文 chcon -t 2. public_content_t filename #临时更改文件的安全上下文的类型 semanage fcontext -a -t public_content_t '/westos(/.)?’ #永久更改文件的安...
Linux的selinux
lm236236的博客
11-05 183
selinux内核加强型火墙   文件影响:CONTEXT 安全上下文  必须匹配才能访问 服务影响:getsebool功能开关 先将/etc/sysconfig/relinux文件下的disable改为enforcing,然后reboot重启 selinux设置后必须重启系统 setenforce 0  == 将/etc/sysconfig/relinux文件下的enforcing...
semanage命令详解
热门推荐
Listen2You的博客
10-13 2万+
导读 semanage命令是用来查询与修改SELinux默认目录的安全上下文。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下chcon命令的使用方法。 语法 semanage {login|user|port|interface|fcontext|
Linux -- SELinux
最新发布
HH_beibei的博客
11-08 820
Security-Enhanced Linux的缩写,即安全增强型Linux,是一种采用安全架构的Linux系统,它能够让管理软更好的管控哪些人可以访问系统哪些资源。它最初是作为Linux的一系列补丁,由美国国家安全局(NSA)利用Linux安全模块(LSM)开发而成。
Linux内核情景分析(非扫描)
06-11
9. **安全性**:2.4.0内核增强了内核级别的安全特性,如SELinux(安全增强型Linux),提供细粒度的访问控制,提升了系统的整体安全性。 10. **并发与同步**:内核中的锁机制和信号量保证了并发操作的正确性。这一...
linux内核的高级配置
11-20
Linux内核提供多种安全机制,如SELinux(安全增强型Linux)、AppArmor等,它们可以限制进程的权限,防止恶意软件扩散。此外,还有内核补丁集如GRSecurity,进一步增强了内核的安全性。 6. **文件系统** Linux支持...
基于Linux内核的Android安全探讨.pdf
09-06
5. SELinux(Security-Enhanced Linux):从Android 4.3版本开始引入,SELinux增强了Linux内核的安全性,通过强制访问控制策略限制了进程的行为,进一步加强了安全隔离。 6. Android运行时权限:在Android 6.0及...
Linux内核2.4版源代码分析大全.rar
04-17
7. 安全性:在2.4版中,内核开始引入SELinux(安全增强型Linux),这是一种强制访问控制机制,增强了系统的安全性。 8. 存储子系统:除了文件系统,2.4版内核还改进了块设备层,支持RAID和LVM(逻辑卷管理),提供...
chcon 更改安全上下文 临时更改,永久更改
dreamer_xixixi的博客
05-17 9279
 chcon 改变上下文#change context 1.如何更改安全上下文  1>临时更改  chcon -t 安全上下文  文件  chcon -t public_content_t /publicftp   -R   目录  实验1:  1.rm -fr /var/ftp/* 2.touch /mnt/westos  3.mv /mnt/westos /var/ftp/ ...
centos最最常用的一些操作命令
骑着代码去流浪
07-02 275
更改当前登录用户密码:passwd 更改其他用户密码:passwd 用户名 创建用户并在home创建相关文件夹:useradd worker -d /home/worker -m 查看防火墙:systemctl status firewalld dead表示未开启,running表示开启 开启防火墙:systemctl start firewalld 关闭防火墙:systemctl stop firewalld 查看某个端口是否通过防火墙:firewall-cmd--zone=public..
selinux管理与应用
iteye_3782的博客
09-12 506
1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo...
SELinux 的基本介绍及用法
awoyaoc的博客
05-14 8329
SELinux 的基本介绍及用法安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。进行实验时首先 [root@localhost ~]# rm -rf /etc/vsftpd/ [root@localh...
23.Linux内核SELinux简析(简介、安全上下文、SELinux的布尔值、SELinux报错解决)
愿你走出半生,归来仍是少年!
02-19 1778
1.SELinux简介 1)SELinux 全称 Security Enhanced Linux (安全强化 Linux),是美国国家安全局2000年以 GNU GPL 发布,是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统 的用途在于增强系统抵御 0-Day 攻击(利用...
SELinux完全解读
yonggeit的博客
05-17 3981
selinuxservice enhanced linux 安全增强的Linux CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set 继承了源目录的安全标签 写日志 写入成功 覆盖 安全标签跟当前目录不匹配无法正常写日志 此时网站可访问 网站目录迁移 如果不带属性复制 此时不能访问需要修改安全上下文 此时又可以访问了 此时无法启动端口没在s
vsftpd学习笔记
两步一脚印的专栏
11-27 5439
这几天在RHEL6.5下捣腾vsftpd服务,在这里记录下自己碰到的问题和解决方法。 1.  匿名用户上传文件 (1) 修改vsftpd.conf文件,使"write_enable=YES"和"anon_upload_enable=YES" (2) 确保上传目录有写的权限 ftp上传文件出现”vsftpd 553 could not create file”现象,排除不是上面两点引起的,可
Linux中内核加强型火墙管理Selinux的功能、状态管理、安全上下文的修改、Sebool、Seport、排错工具)
S_K15的博客
06-02 447
Linux中内核加强型火墙管理一、Selinux的功能1、实验环境2、观察现象3、selinux的影响二、Selinux的状态及管理1、selinux的开启2、selinux状态的查看与转换三、Selinux的安全上下文1、查看安全上下文2、修改安全上下文 一、Selinux的功能 1、实验环境 (1)关闭selinux,然后重启 vim /etc/selinux/config reboot (2)安装vsftpd并设定开机启动,添加到火墙 dnf install vsftpd -y systemct
SELinux permissive模式 设置
子燕若水的博客
10-25 6976
0、getenforce ##也可以用这个命令检查 关闭SELinux: 1、临时关闭(不用重启机器): setenforce 0 ##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 参考链接https://blog.csdn.net/tangsilian/article/details/80144112 ...
SELinux核心策略管理基础设施
SELinux是一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,通过严格的策略来限制进程可以访问哪些资源。 1. **策略管理需求**: 生产系统需要能够管理策略,包括添加和删除应用程序策略、更新现有策略、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值