Linux中selinux 内核级加强型火墙管理

于 2021-08-13 09:26:26 发布
阅读量155 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46971894/article/details/119270063
版权

 1.selinux功能

selinux开启会给系统中的每一个文件及每一个程序加载安全上下文,特定安全上下文的程序只能访问特定安全上下文的文件。当selinux开启会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态以保证服务安全性。当需要此功能时需要超级用户手动调节。selinux是保护系统安全性的插件。
 

1.1 seliux关闭状态 

 安装vsftpd服务,编辑vsftp服务的配置文件,允许匿名用户访问,在/mnt中建立文件,将该文件移动到/var/ftp下后,匿名用户访问ftp可以访问到该文件;编辑vsftp服务的配置文件,允许匿名用户上传文件,匿名用户访问ftp可以上传文件

dnf install -y lftp
dnf install -y vsftpd
vim /etc/vsftpd/vsftpd.conf
 开启匿名登陆和上传
systemctl enable --now vsftpd

touch /mnt/testfile
ls -Z /mnt/testfile
pa auxZ | grep vsftpd
mv /mnt/testfile /var/ftp


chgrp ftp /var/ftp/pub/
chmod 775 /var/ftp/pub/


lftp 172.25.254.128
可以登陆,查看到testfile并且在pub/目录可以上传

 编辑/etc/sysconfig/selinux,开启selinux,重启系统使设定生效,在/mnt中建立文件,将该文件移动到/var/ftp下后,匿名用户访问ftp不能访问到该文件;匿名用户可以通过设置后仍然不能上传文件

 查看vsftpd服务的默认共享目录及该服务程序的安全上下文时,显示selinux为其加载的标签

 2.selinux状态

2.1 查看selinux状态

getenforce

类型解释
Disabled关闭
enforcing强制(有警告,不允许执行)
permissive警告(有警告,允许执行)

我们可以通过编辑/etc/selinux/config这一配置文件(也可以编辑/etc/sysconfig/selinux,该文件是/etc/selinux/config的一个软链接)来更改selinux的状态:

 selinux的状态可以通过getenforce查看,当selinux开启后可以通过setenforce 0—警告和setenforce 1—强制进行强制和警告状态的转换。当selinux为enforcing强制状态时,不符合安全条件的操作一定不被允许,并且会收到警告信息;当selinux为permissive警告状态时,不符合安全条件的操作被允许,并且会收到警告信息,我们可以在selinux日志位置/var/log/audit/audit.log处查看相应的警告信息。

 enforcing不允许执行:

getenforce
#Enforcing

> /var/log/audit/audit.log 
cat /var/log/audit/audit.log
lftp 172.25.254.200   #看不到testfile2

cat /var/log/audit/audit.log 
#path="/testfile2"  permissive=0

 permissive有警告但是允许执行:

setenforce 0
getenforce
#Permissive

> /var/log/audit/audit.log
cat /var/log/audit/audit.log

lftp 172.25.254.128  #可以看到testfile2

cat /var/log/audit/audit.log
#path="/testfile2 permissive=1

 2.3 selinux的临时设定

 setenforce 0|1

0表示警告模式 
1表示强制模式

2.4 selinux开关 

vim /etc/sysconfig/selinux
SELINUX=disabled /enforcing/permissive

reboot 
#重新设定都要重启系统

3.安全上下文

3.1 安全上下文的临时更改

chcon -t 标签 文件|目录:修改文件/目录的安全上下文
chcon -Rt 标签 目录:修改目录及目录中的所有子文件的安全上下文

 chcon更改安全上下文标签的操作是临时设定,重启系统后(selinux会重置其安全上下文)会复原

 

 3.2 永久更改目录或文件的安全上下文

新建目录,修改内核安全上下文列表即使用semanage指定目录及目录中内容的安全上下文标签(’/目录(/.*)?'必须使用单引号因为双引号无法转译?),修改后ls -Z查看该目录的安全上下文标签,设定不会立即生效,需要使用restorecon刷新信息后才生效

 4.sebool

当selinux开启时内核会对程序的功能加载开关,并设定此开关的状态为关闭,当需要此功能时需要手动开启功能开关,此开关叫做sebool。

getsebool -a | grep ftp 				##查看ftp的功能开关 
setsebool ftpd_anon_write=1|on			##表示开启此匿名用户写的功能
setsebool -P ftpd_anon_write=1|on 		##表示永久开启此匿名用户写的功能

5.Seport 

当selinux开启时内核会限制程序、服务使用端口号的范围,我们可以通过以下操作修改seport。

1.selinux开启状态下,安装并开启sshd服务,编辑sshd服务的配置文件,修改sshd服务的默认端口为2222,重启服务失败,这是因为系统内核防火墙selinux会限制http服务所使用的端口号范围,将selinux设置为警告模式可以重启服务

2. 另一种解决方案是在内核安全上下文列表中为http服务添加8888端口号,添加完成后,将selinux设置为强制模式也可以成功重启服务

6.setrouble排错

setroubleshoot软件可以帮助我们采集selinux日志/var/log/audit/audit.log中的警告信息并分析得到解决方案存放到/var/log/messages中(先采集再分析,即需要先查看/var/log/audit/audit.log再查看/var/log/messages)。
 

查看/var/log/messages,可以得到相应解决方案 

X_sm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux内核的高配置
11-20
Linux内核提供多种安全机制,如SELinux(安全增强型Linux)、AppArmor等,它们可以限制进程的权限,防止恶意软件扩散。此外,还有内核补丁集如GRSecurity,进一步增强了内核的安全性。 6. **文件系统** Linux支持...
Linux内核情景分析(非扫描)
06-11
9. **安全性**:2.4.0内核增强了内核别的安全特性,如SELinux(安全增强型Linux),提供细粒度的访问控制,提升了系统的整体安全性。 10. **并发与同步**:内核的锁机制和信号量保证了并发操作的正确性。这一...
linux查看防火墙状态及开启关闭命令
热门推荐
lv_shijun的专栏
09-06 31万+
两张方式: 一、service方式 查看防火墙状态:  [root@centos6 ~]# service iptables status iptables:未运行防火墙。 开启防火墙: [root@centos6 ~]# service iptables start 关闭防火墙: [root@centos6 ~]# service iptables stop
docker添加容器时,使用 -v 挂载时无法启动容器
qq_41999034的博客
05-16 4254
问题: 如下,使用docker添加mysql容器 添加成功,可容器却无法启动 原因: CentOS7的安全模块selinux把权限禁掉了,无法使用-v命令进行挂载 解决方法: 添加selinux规则,将要挂载的目录添加到白名单 chcon -Rt svirt_sandbox_file_t /mydata/mysql/log 添加完后,删除旧的mysql容器,重新添加一次,成功启动 ...
chcon 更改安全上下文 临时更改,永久更改
dreamer_xixixi的博客
05-17 9262
 chcon 改变上下文#change context 1.如何更改安全上下文  1>临时更改  chcon -t 安全上下文  文件  chcon -t public_content_t /publicftp   -R   目录  实验1:  1.rm -fr /var/ftp/* 2.touch /mnt/westos  3.mv /mnt/westos /var/ftp/ ...
Linux内核加强型火墙selinux管理详解
weixin_44310047的博客
05-21 2003
Linux内核加强型火墙selinux管理 一、SElinux的功能 SELinux 全称为安全增强式 Security-Enhanced LinuxSELinux),是 2.6 版本的 Linux 内核提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的。对于其功能,我们可以通过下面几个现象进行更深入的了解: 现象一: 1)当Selinux未开启: 安装vsftpd服务,编辑vsftp服务的配置文件,允许匿名用户访问,在/
chcon命令详解
IT骆驼翔子
04-16 5163
chcon -t texrel_shlib_t /opt/oracle/product/10.2.0/db_1/lib/libnnz10.so chcon命令:修改对象(文件)的安全上下文。比如:用户:角色:类型:安全别。 命令格式:    Chcon [OPTIONS…] CONTEXT FILES…..    Chcon [OPTIONS…] –reference=PEF_FILES
基于Linux内核的Android安全探讨.pdf
09-06
5. SELinux(Security-Enhanced Linux):从Android 4.3版本开始引入,SELinux增强了Linux内核的安全性,通过强制访问控制策略限制了进程的行为,进一步加强了安全隔离。 6. Android运行时权限:在Android 6.0及...
Linux内核2.4版源代码分析大全.rar
04-17
7. 安全性:在2.4版内核开始引入SELinux(安全增强型Linux),这是一种强制访问控制机制,增强了系统的安全性。 8. 存储子系统:除了文件系统,2.4版内核还改进了块设备层,支持RAID和LVM(逻辑卷管理),提供...
linux-2.6.24
最新发布
11-06
6. **安全增强**:这个版本加强了内核的安全特性,例如添加了SELinux(安全增强型Linux)的改进和支持,提供强制访问控制,增强了系统的安全性。 7. **硬件支持**:2.6.24内核增加了对新硬件的支持,包括更多的...
docker 其他电脑访问权限_Docker容器挂载主机目录访问出现Permission denied的解决办法...
weixin_42498487的博客
01-17 374
Docker挂载主机目录,访问相应的文件出现Premission denied的权限访问问题挂载后,查看相应的文件出现如下的提示:[root@ba471da26d07 soft]# lsls: cannot access jdk-8u102-linux-x64.tar.gz: Permission deniedhadoop-2.7.2.tar.gz jdk-8u102-linux-x64.tar....
Linux内核加强型火墙selinux管理和使用
zxn_0823的博客
05-26 229
Selinux的功能 观察现象 此实验前需将/etc/vsftpd/vsftpd.conf还原如下 当Selinux未开启时 在/mnt建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root ...
linux命令chcon,chcon命令详解
weixin_39754142的博客
04-30 199
chcon命令:修改对象(文件)的安全上下文。比如:用户:角色:类型:安全别。命令格式:Chcon [OPTIONS…] CONTEXT FILES…..Chcon [OPTIONS…] –reference=PEF_FILES FILES…说明:CONTEXT 为要设置的安全上下文FILES 对象(文件)--reference 参照的对象PEF_FILES 参照文件上下文FILES ...
centos7 nginx 403 forbidden 原因及解决办法
____
04-23 7149
selinux 开启导致 nginx 403If you still see permission denied after verifying the permissions of the parent folders, it may be SELinux restricting access.To check if SELinux is running:getenforceTo disable
# chcon -t samba_share_t /software chcon: can't apply partial context to unlabeled file /software
我的博客
05-11 3577
点击打开链接
CentOS7Docker文件挂载的权限
Cecil 的专栏
07-18 2833
【转自oschina.net,作者runescape,微改】 在CentOS7,挂载的本地目录在容器没有执行权限,原因是CentOS7安全模块selinux把权限禁掉了,至少有以下三种方式解决挂载的目录没有权限的问题: 1,在运行容器的时候,给容器加特权: 示例:docker run -i -t --privileged=true -v /docker/data1:/data --nam...
Docker挂载主机目录ls: cannot open directory .: Permission denied
VacantYang的博客
11-06 2460
Docker挂载主机目录时,没有权限访问主机对应的文件夹,可以进入到该目录下,然后赋予该目录权限: [root@localhost var]# chcon -Rt svirt_sandbox_file_t webapps
使用SELinux实现Linux环境的高安全管理
SELinux(Security Enhanced Linux)是一种基于Linux的安全子系统,旨在提供一个高安全性的操作环境。下面是 SELinux 的基础知识点: 一、SELinux 的基本概念 SELinux 是一个基于 Linux 的安全子系统,它提供了一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值