Linux内核级加强型火墙的管理-Selinux

最新推荐文章于 2024-04-28 16:00:21 发布
最新推荐文章于 2024-04-28 16:00:21 发布
阅读量81 收藏
点赞数
分类专栏: rhel8.2 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47738793/article/details/110133157
版权

一.Selinux的功能

当Selinux未开启时
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd 时显示结果也会有“?”
在这里插入图片描述

当selinux开启:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
在这里插入图片描述

ps auxZ | grep vsftpd 时显示:
在这里插入图片描述

selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)

对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

二.Selinux的状态及管理

1.selinux的开启
vim /etc/selinux/config
SELINUX=disabled #selinux关闭
SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启
selinux开启或关闭需要重启系统

enforcing:
不符合条件一定不能被允许,并会收到警告信息

permissive:
不符合条件被允许,并会收到警告信息

selinux状态的查看:
getenforce

selinux开启后强制和警告级别的转换
setenforce 0 ##警告
setenforce 1 ##强制

selinux日志位置:
/var/log/audit/audit.log

三.Selinux的安全上下文

1.查看
ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps auxZ ##查看进程的安全上下文

2.修改安全上下文
#临时修改
#此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文

#永久修改安全上下文
#如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l ##查看内核安全上下文列表
semanage fcontext -a -t public_content_rw_t ‘/var/ftp/pub(/.*)?’ ##设置pub目录下的安全上下文可读可写
restorecon -RvvF /var/ftp/pub ##刷新
touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件
在这里插入图片描述

四.SEBOOL

getsebool -a ##现实服务的bool值
setsebool -P ftpd_anon_write on #更改
在这里插入图片描述

五.SEPORT

semanage port -l | grep ssh
semanage port -a -t http_port_t -p tcp 6666 ##-a指增加,-d指删除
在这里插入图片描述在httpd的配置文件信息里面修改成6666接口

在这里插入图片描述删除
在这里插入图片描述

六.setrouble

#/var/log/audit/audit.log ##selinux警告信息
#/var/log/messages ##selinux问题解决方案
#setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放到message中

semanage port -d -t http_port_t -p tcp 6666

> /var/log/audit/audit.log   ##清空
>/var/log/messages  ##清空

在这里插入图片描述删除setroubleshoot-server 该软件后message里面没有解决方案
在这里插入图片描述

systemctl restart httpd
systemctl stop httpd

adreamchaser刚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
container-selinux2.9-4.rar
06-20
centos系统安装docker时常缺此安装包, 下载rpm安装包后执行命令: rpm -i container-selinux-2.9-4.el7.noarch.rpm 即可完成安装,再继续docker其他安装。
getenforce命令
热门推荐
weixin_45861372的博客
03-31 2万+
使用getenforce命令可以在Linux下查看是否开启了SELinux。 下面是Linux getenforce命令的使用方法。 [root@DB-Server ~]# getenforce Enforcing 如何开启、关闭SELinux呢?最简单的方式使用setenforce,这样不用重启服务器,但是该命令只能将SeLinux在enforcing、permissive这两种模式之间切换,服务器重启后,又会恢复到/etc/selinux/config下,也就是说setenforce的修改是不能持久的。
Linux常用命令——getenforce命令
AI的博客
06-15 1301
显示当前SELinux的应用模式,是强制、执行还是停用。查看当前SELinux的应用模式。可以重命名卷组的名称。
SELinux和getenforce命令
最新发布
weixin_70790602的博客
04-28 435
SELinux安全增强型Linux系统,他是一个Linux内核模块,也是Linux的一个安全子系统。主要作用就是最大限度地减小系统中服务进程可访问的资源。状态分为以下三种:下面是Linux getenforce命令的使用方法Enforcing。
linux学习笔记(七)
zzdashen的博客
03-08 548
###加密方式### 设备--文件系统--文件--加密 将加密破坏后仍可以查看文件中的信息,安全性较差 设备--加密--文件系统--文件 将加密破坏后,里面的内容仍然是加密文件,安全性较好 ####创建新的分区#### 当所有分区都在被使用,并且无磁盘时,可以分割出一个分区暂时使用: dd if=/dev/zero of=/swapfile bs=1M count=1000   
Linux验证SELinux状态
weixin_48692664的博客
01-07 3026
安全增强型LinuxSELinux)是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。记录操作如何验证SELinux,并且避免系统无法启动的问题。 以root权限执行:sudo su - 运行命令getenforce,验证SELinux状态,返回状态应为enforcing或者permissive 运行命令:sestatus,获取更多SELinux信息 参数信息SELinux status显示为enabled,表示SELinux已启动 ...
container-selinux-2.74-1.el7.noarch.rpm
12-02
解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm
docker离线资源(包含container-selinux-2.9-4).rar
02-21
docker安装部署依赖包container-selinux-2.9-4.el7.noarch.rpm,yum资源无法下载。
container-selinux
08-21
docker 离线安装依赖的基础包。
tigervnc-selinux-1.11.0-9.el8.noarch(1).rpm
12-06
官方离线安装包,亲测可用
Linux内核加强型火墙管理
Sun__s的博客
11-19 172
一、Selinux的功能 1.观察现象 当Selinux未开启时 在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 当selinux开...
RH135---Linux系统管理及网络服务之 linux内核加强型火墙管理 --Selinux
Lue的博客
05-28 274
########## 一.Selinux的功能 ############### 1.观察现象 当Selinux未开启时 在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/ vsftpd /etc...
getenforce命令--Linux命令应用大词典729个命令解读
weixin_33720452的博客
11-10 802
内容来源于人民邮电出版社《Linux命令应用大词典》讲述729个命令,1935个例子学习Linux系统的参考书、案头书,遇到不懂的命令或命令选项一查即可争取每天都发布内容本文出自 “airfish2000” 博客,更多命令查看博客:http://airfish2000.blog.51cto.com/10829608/1871377getenforce命令 ...
linux中的内核火墙SElinux
Hguan07的博客
08-12 2183
SElinux是基于内核开发出来的一种安全机制,被称之为内核加强型火墙,有力的提升了系统的安全性。 SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能 在linux系统中使用getenforce命令可以查看selinux的状态: Disabled为关闭状态,对服务和功能都没有限制 Enforcing为强制状态,对服务和功能都进行限制 Permissive
9.linux内核加强防火墙管理
qq_44060147的博客
05-13 78
linux内核加强防火墙管理一.Selinux的功能二.Selinux的状态及管理三.Selinux的安全上下文1.查看2.修改安全上下文临时修改永久修改安全上下文四.SEBOOL五.SEPORT六.setrouble 环境配置 vim /etc/selinux/config dnf install vsftpd -y systemctl enable --now vsftpd firewall-cmd --permanent --add-service=ftp firewall-cmd --rel
Linux内核加强型火墙selinux管理和使用
zxn_0823的博客
05-26 219
Selinux的功能 观察现象 此实验前需将/etc/vsftpd/vsftpd.conf还原如下 当Selinux未开启时 在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root ...
linux 查看启动命令参数,getenforce命令
weixin_39955829的博客
04-29 897
使用getenforce命令可以在Linux下查看是否开启了SELinux。下面是Linux getenforce命令的使用方法。[root@DB-Server ~]# getenforceEnforcing如何开启、关闭SELinux呢?最简单的方式使用setenforce,这样不用重启服务器,但是该命令只能将SeLinux在enforcing、permissive这两种模式之间切换,服务器重启...
linux必须运行在enforcing,Linux(入门基础):97---SELinux三种模式的启动、关闭、查看(getenforce、setenforce、sestatus、restorecon)...
weixin_36182916的博客
05-01 1923
一、SELinux三种模式简介Enforcing:强制模式。代表SELinux在运行中,且已经开始限制domain/type之间的验证关系Permissive:宽容模式。代表SELinux在运行中,不过不会限制domain/type之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正确会发出警告Disabled:关闭模式。SELinux并没有实际运行二、getenforce命...
linux中导出container-selinux-2.74.2-1.911c772.el7_8.noarch
11-15
container-selinux是针对容器的安全增强Linux内核模块,用于在容器环境中提供更强的安全性。2.74.2-1.911c772.el7_8表示该软件包的版本号。 要导出该软件包,可以执行以下步骤: 1. 打开终端或命令行界面,使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值