selinux

最新推荐文章于 2023-05-16 16:23:00 发布
最新推荐文章于 2023-05-16 16:23:00 发布
阅读量81 收藏
点赞数
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46754666/article/details/122326013
版权

问题1:selinux对于系统时如何保护的
对于之前/etc/vsftpd/文件的改动

rm -fr /etc/vsftpd/
dnf install vsftpd -y
systemctl restart vsftpd
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES #让匿名用户认证
anon_upload_enable=YES #让匿名用户上传文件

selinux_disable                            selinux_enable
ftp upload yes                                no

mv /mnt/file --- /var/ftp yes                 no

pa axZ | grep vsftpd 某些信息是查看不了的   system_u.....

ls -Z /mnt/westoslee ?                  ls -Z /mnt/westoslee  system_u:object_r....


vim /etc/sysconfig/selinux

selinux对于文件的影响
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)
特定标签的程序只能访问特定标签的文件
selinux对于程序的影响
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
getsebool -a | grep ftp

问题2:selinux的基本状态设定

vim /etc/sysconfig/selinux
vim /etc/selinux/conf #这两个文件是同一个
enforcing  和 permissise   设定这两个状态的时候,一定要重启系统才能生效,否则selinux无法去切换,因为这个内核级的插件
enforcing  强制,即会警告你,也会拒绝你
permissise  允许,但有警告
cat /var/log/audit/audit.log  这是selinux的日志
> /var/log/audit/audit.log  #清空当前信息
getenforce  #查看selinux状态
setenforce 1/0 #设置selinux状态, 1表示强制,0表示警告

问题3:selinux安全上下文的管理

ls -Z /var/ftp/  #可以查看目录中的文件的安全上下文
chcon -t public_content_t /var/ftp/westoslee  #改变安全上下文
ls -Zd westos #查看目录本身的安全上下文
ls -RldZ westos #查看目录本身的安全上下文
ls -RlZ westos #查看目录本身和目录中文件的安全上下文
当执行以下操作
chcon -t public_content_t /mnt/westos #只改变目录本身的安全上下文
chcon -Rt public_content_t /mnt/westos #改变目录本身和子文件的安全上下文 R表示递归

以上的改变只是临时的,当selinux重新被初始化了,那安全上下文会恢复成默认的。以下操作是将安全上下文固定下来,要修改安全上下文列表。
touch /.autorelabel #当开机的时候检测到这个文件的存在,selinux就会对文件进行重新的标签设定。
semanage fcontent -l | grep /var/ftp
semanage fcontent -a -t public_content_t '/westosdir(/.*)?' #目录及以后创建的文件都会被处理
semanage fcontent -a -t public_content_t /westos   #只有目录本身被处理了
restorecon -RvvF /westosdir/
#R表示显示详细过程

问题4:安全上下文的波尔值的设定

public_content_t 只能读,不能改
public_content_rw_t 可以改
当修改文件为
semanage fcontext -a -t public_content_rw_t '/var/ftp/pub(/.*)?'
之后,在
lftp 172.25.254.250中还是上传不了文件的时候,是这个功能被关掉了
getseboot -a | grep ftp  #查看ftp
setsebool -P ftpd_anon_write 1
#P的意思的permanent
getsebool -a

问题5:selinux对于服务的端口限制

当selinux对于端口有限制
semanage port -l | grep ssh
#查看端口
semanage port -a -t ssh_port_t -p tcp 2222
#将访问端口加上2222
semanage port -d -t ssh_port_t -p tcp 2222
#2222端口撤销

问题6:selinux排错

cat /var/log/messages
根据日志提示
/sbin/restorecon -V /var/ftp/westos1
#只提供你想访问问题的解决方案,但不能保证安全
#selinux系统中有个软件对selinux进行扫描,软件名字叫做setrouble-shoot,软件的功能是对于错误进行分析,从而给出方案
当删除setrouble-shoot软件之后,错误日志在
/var/log/audit/audit.log
中,但没有解决方案
setsebool -P ftpd_full_access 1  #设定完之后,selinux将不会对ftp进行限制
藕粉姜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux使用详解
weixin_33709609的博客
08-27 1067
SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统。Linux系统使用SELinux技术的目的是为了让各个服务进程都受到约束,使其仅能获取到本应获取的资源。例如,你在电脑上安装了一个美图软件,当你在全神贯注地使用它给照片进行美颜时,它却在后台默默监...
SELinux入门
qq_38483583的博客
03-21 285
如果你在之前的Linux生涯中都禁用或忽略了SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的Linux桌面或服务器之下的SELinux系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 回到Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为Linux内核子系统引入了一个健壮的强制控制访问Mandat
Linux系统开启或关闭SELinux
高性价比服务器就选:蓝易云
05-16 2959
SELinux 是一个强制访问控制机制,它在 Linux 内核中实现。相较于其他访问控制机制,如传统的 UNIX 文件权限和 Linux 访问控制列表(ACL),SELinux 能够提供更细粒度的访问控制。在 SELinux 中,每个进程和对象都有一个安全上下文。该上下文包含了一些标签(例如,用户、角色和类型),用于表示该进程或对象的安全级别。在访问控制中,SELinux 使用了一个策略管理器,它会在访问请求到达时检查该请求是否符合策略要求,并在满足要求时批准该请求。
Linux启动SELinux
qq_43203949的博客
06-15 3556
centos自带SELinux。 开启 先编辑配置信息 在根目录下创建隐藏文件,然后重启Linux 验证 切换SELinux模式 模式切换不需要重启linux,而在关闭SELinux(设为disabled)或开启(设为permissive,Enforcing)需要重启Linux。 Utunbu 安装,似乎不是自带的,而是使用代替。本人在测试,发现只有,所以我需要使用进行替换。 开启 也是配置信息,会发现跟centos那边的SELinux的配置文件有一些些不同,不过主题内容大致一致。 验证 验证方式没改变 .
Linux之SELinux的介绍以及用法
xu710263124的博客
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
SELinux手册 电子书 pdf 英文
最新发布
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
SELinux.zip
05-25
**SELinux:安全增强型Linux** SELinux,全称为Security-Enhanced Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,为用户提供了一种更为精细的权限管理机制。...
linux 系统管理员l,系统管理员的 SELinux 指南
weixin_31617975的博客
05-02 152
SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。正确的标签格式是 user:role:type:level(可选)。多级别安全Multi-Level Security(M...
Selinux理解
ELIUAK_d的博客
10-20 937
了解 selinuxSELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,是由NSA编写并设计成内核模块包含到内核中 扩展: UNIX的安全模型是:任意的访问控制(DAC)。任何程序对其资源享有完全控制权限 而MAC ...
selinux 开启和关闭
热门推荐
Amn-o的博客
03-10 9万+
对于新手来说,linux的selinux困扰了一大批学员,开启后,导致文件权限修改不了等问题,下面就是关闭设置setlinux的方法查看SELinux状态:1、/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态SELinux status:                 enabled2、getenforce        ...
SELinux学习:label相关
Linux
01-04 1188
参考链接: SELinux 安全策略解析 Understanding SELinux File Labelling and SELinux Context Practical SELinux for the beginner: Contexts and labels Security-Enhanced Linux SELinux/Labels SELinux/EnforcePolicy SELinux AVC denies at boot SELinux 及 permision denied 问题 SELi
/etc/selinux/config与/etc/sysconfig/selinuxselinux状态设置
阿白,
09-28 3239
/etc/sysconfig/selinux是指向原文件/etc/selinux/config的一个软连接文件, 修改/etc/sysconfig/selinux会破坏连接关系使其变成普通的文件不再是系统认为的selinux的配置文件 建议修改/etc/selinux/config即可 设置selinux状态方法有永久和临时两种 永久: 修改配置文件/etc/selinux/config的SELINUX=disabled,然后需要重启服务器生效 临时: getenforce可以查看当前selinux的状态
selinux 简介
qq_43679416的博客
09-07 1624
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) 1.对内核对象和服务的访问控制 2.对进程
selinux 标签_了解容器运行时的SELinux标签
cumo3681的博客
06-30 783
selinux 标签 最近,我通过电子邮件回答了有关SELinux和容器运行时的问题。 之后,我意识到其他人可能会对同一个主题感到疑惑,所以我决定将答案变成一篇针对Opensource.com的文章,希望我可以帮助其他有相同问题的人。 电子邮件开始了: “ Dan,几年前您很乐意回答我的SELinux问题,我希望您仍然在从事这个行业。” 尽管我现在是Red Hat的容器团队的负责人,并且...
SELinux(更新中)
叫我家驹范
06-25 275
Security-Enhanced Linux 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 集成到Linux内核(2.6及以上)中运行 RHEL7基于SELinux体系针对用户、进程、目录、提供了预设的保护策略,以及管理工具 运行模式 enforcing(强制) permissive(宽松) disabled(彻底禁用) 切换运行模式 临时切换:seten...
selinux基本概念 | 开启selinux策略 | 安全上下文的临时修改 | 安全上下文的永久修改 | 如何修复selinux | selinux对服务功能的影响 | 系统自动排错
Minz
05-11 2341
一,Security-Enhanced  LinuxSELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制,在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限标签(控制哪些用户对哪些文件具有哪些访问权,SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 ...
深入理解SELinux:谷歌文档版
"这是一份关于SELinux的第四版笔记,由Richard Haines创作并受版权保护。笔记的内容可以按照GNU Free Documentation License的条款进行复制、分发和修改。此外,书中包含的脚本和源代码遵循GNU General Public ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值