RHCE第5章:SELinux

已于 2022-02-05 01:00:42 修改
阅读量3.3k 收藏 4
点赞数 2
分类专栏: RHCE 文章标签: linux 安全 服务器
于 2021-12-29 19:21:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50835854/article/details/122209033
版权

系列文章目录

RHCE第0章:RHCE开始前的准备
RHCE第1章:Web服务器(上)
RHCE第1章:Web服务器(下)
RHCE第2章:DNS服务
RHCE第3章:DHCP服务器
RHCE第4章:Firewall服务
RHCE第5章:SELinux

文章目录

前言

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。
简单来说就是一个负责安全的操作系统,之前我们做实验都是关闭SELinux,在此之后我们的虚拟机都要打开SELinux

vim /etc/selinux/config

在这里插入图片描述
将其参数设置为enforcing,两台虚拟机都要修改。
然后reboot,打开selinux第一次重启需要打标,可能会慢一点。
在这里插入图片描述
确认selinux打开后,抓快照,以后的实验都在selinux打开的情况下做。

一、SElinux基本指令

1.查看状态

sestatus

在这里插入图片描述
这里简单说一下Current mode这个参数表示selnux的状态,我们可以用配置文件看以下

在这里插入图片描述
这个参数共有以上几种状态简单说一下啊。
enforcing 强制禁止,在你的计算机中有服务违反了相关安全策略,selinux会给你直接禁止。
permissive 警告代替禁止,在你的计算机中有服务违反了相关安全策略,selinux会给你通过,但是会给你发个警告信息,然后记录到日志里。
disabled 关闭 selinux安全策略关闭。
selinux还有第四中模式,这里没有,selinux的配置读取是在计算机启动时先加载到内核里,然后读取配置文件,我们可以通过修改内核直接阻止selinux加载到内核。

2.临时开关

setenforce 0

在这里插入图片描述
我可以临时的把模式改成Permissive
在这里插入图片描述
在改回去。

3.展示文件上下文

ls -Z / #以根目录为例

在这里插入图片描述
结果会为每一个目录展示一段信息,每一段信息用三个:分成四个部分,我们主要看第三个部分,可以理解为文件类型。
现在我们在根目录下建立一个测试文件夹。
在这里插入图片描述
我们建的文件夹啊不属于任何系统类型,会变成default。
再举个例子,现在安装一个apache。

ls -Z /var/www/

在这里插入图片描述
红帽7开始的selinux就已经包含了所有服务,基本上计算机能安装的服务,他都有一个默认的类型。

在这里插入图片描述
我们在默认文件夹下建立一个测试也,查看他的类型,可以发现它默认继承了父文件夹的类型。

二、安全策略举例

1.软连接测试

之前做apache实验有一种情况,当网页文件不在默认文件夹下时,可以通过修改配置文件或者软连接的方式访问,现在关闭selinux进行软连接测试。
过程不说了,不会的自己复习。
在这里插入图片描述
现在我们把selinux打开再次访问。
在这里插入图片描述
在这里插入图片描述
访问被拒绝。
这就是selinux的安全策略才拦截。
在这里插入图片描述
由于这个两个文件不在同一个文件夹下,所以继承了不同的文件类型,selinux认为软连接目标不是html的文件类型,这不安全,所以进行拦截。

2.修改类型

知道了问题所在就要解决问题。
这里说三种修改方法。

chcon -R -t httpd_sys_content_t /chaogetest/

R递归所有文件
t 目标类型
最后加要修改的目录。
在这里插入图片描述
现在可以正常访问了,我们在把他改回去说第二种方法。

chcon -R -t default_t /chaogetest/

chcon -R --reference=/var/www/html/ /chaogetest/

–reference+参考目录
把目标目录按参考目录设置。

在这里插入图片描述
现在又通了。
在弄回去,现在说第三种方法。
前边两种都不是直接内核,或者说都是零时生效,所以官方并不推荐,仅作了解,官方推荐使用semange命令

semanage fcontext -a -t httpd_sys_content_t '/chaogetest(/.*)?'

fcontext 修改上下文
a 添加
httpd_sys_content_t 文件类型
‘/chaogetest(/.*)?’ 目标文件这里运用了正则表达式意思是/chaogetest以及目录下的所有文件

这条命令的意思是 为/chaogetest以及目录下的所有文件添加httpd_sys_content_t 为上下文类型,这个要等几秒,因为他要把信息写到内核里边。

restorecon -RFv /chaogetest/

我们再用restorecon 命令使目标文件夹从新变换类型,有点类似于重读配置文件。
在这里插入图片描述
在这里插入图片描述
现在又通了。

三、端口上下文

现在做一个多端口的apache的网页,前边不演示了,因为selinux打开,最后一步重启时会发生错误。
在这里插入图片描述
我们通过以下命令查看日志。

journalctl -xe

在这里插入图片描述
可以看到就是端口问题。
这是因为8899不是apache服务的常用端口selinux认为他不安全,所以我们需要命令添加端口上下文。并且他也直接给出了命令,就是我框住的地方。

semanage port -a -t PORT_TYPE -p tcp 8899,注意这里的PORT_TYPE 代指端口类型,不是实际的代码。
我们要先查看apache的端口类型。

semanage port -a -t PORT_TYPE -p tcp 8899

在这里插入图片描述
可以看到默认端口里没有8899我们要为其添加。

semanage port -a -t http_port_t -p tcp 8899

p 协议类型

在这里插入图片描述
再次查看可以看到我们需要的端口出现了。
此时apache服务就可以重新启动了。
在这里插入图片描述

总结

单独说SElinux没什么意思,还是要结合具体服务具体分析,建议把防火墙和SELinux打开把前边的一些实验都做一下。

超哥--
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux下的selinux
weixin_43936969的博客
11-14 332
一、selinux的定义 selinux: 一种控制服务安全,是内核上面的一个插件,也叫做内核级加强型火墙,是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以...
rhce8-env:RHCE8的练习环境
03-25
RHCE 8练习环境 由Ansible and Vagrant提供支持 苹果系统 安装 Gatekeeper可以阻止virtualbox的安装。 您所要做的只是进入“系统偏好设置”的“安全性和隐私”,然后在“常规”选项卡下单击“允许”,然后重新运行...
关于sed -i 修改selinux 的软链接文件的问题
weixin_33693070的博客
09-02 311
关于sed -i 修改selinux 的软链接文件的问题   http://blog.csdn.net/kumu_linux/article/details/8598005   因为sed -i /etc/sysconfig/selinux(selinux文件是/etc/selinux/config的软链接)配置文件重启SELINUX没有关闭,才发现原来sed -i是不能直接修改软链接文件...
selinux管理与应用
iteye_3782的博客
09-12 486
1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo...
三分钟了解学会软链接和硬链接
m0_63615831的博客
07-14 860
符号链接又叫软链接,和原文件不是一个文件 例如Windows的快捷方式,如果原始文件被删除,所有 指向它的符号链接也就都被破坏了。软链接有自己的node,是linux特殊文件的一种,作为一个文件, 它的数据是它所连接的文件的路径。符号链接可以跨越文件系统,也可以为目录建立。创建软链接文件图解 样例: 当删除原文件时: 2、硬链接 硬链接 只能引用同一文件系统中的文件。它引用的是文件文件系统中的物理索引(也称为inode)。 当移动或者删除原始文件时,硬链接不会被破坏,因为它所引用的是文件的物理数据而不
selinux(实验环境:redhat7.0)
weixin_34408624的博客
07-25 99
1.查看selinux上下文[root@server0 ~]# ls -lZ[root@server0 ~]# ls -ldZ /tmp/[root@server0 ~]# ps auxZ 查看进程上下文[root@server0 ~]# semanage port --list 查看端口的上下文类型[root@server0 ~]# semanage fco...
RHCE_ENV:为RHCE [ex294]考试做准备的环境
02-06
RHCE_ENV:为RHCE [ex294]考试做准备的环境
rhce-study:RHCE 考试学习表
06-21
RHCE 学习指南 基于检索到的2013-01-15 免责声明:这是一个基于已发布的 RHCE 目标的简单学习指南。 这不是“脑残粉”,也不是为了在 EX300 考试中作弊。 系统配置和管理 路由 IP 流量并创建静态路由。 设置默认...
rhce8:RHCE8考试的练习活动
02-16
RHCE / Ansible实践材料EX294和/或EX407的练习材料这是我为EX294考试准备的练习活动的集合。 随时使用它们。 我还没有参加考试,所以我不能说是否要参加这些考试。 这些只是帮助我学习的活动。先决条件虚拟盒子最新...
rhcsa/rhce7 7
08-08
rhcsa/rhce7
操作系统安全:实验配置selinux策略(实验一).docx
06-02
实验一:selinux策略配置 一、实验目的 掌握Selinux的命令 掌握Selinux复制和移动文件 了解chcon命令的使用 掌握Selinux布尔值的查看修改 了解Selinux应用和禁用 二、实验内容与步骤 Selinux命令 SELinux的模式 1.1 并非所有的 Linux distributions 都支持 SELinux 的,不过CentOS都有对SELinux的支持。? 目前 SELinux 支持三种模式,分别如下: ?enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了; ?permissive:宽容模式:代表 SELinux 运作中,不过仅会有警告讯息并不会实际限制 domain/type 的存取。这种模式可以运来作为 SELinux 的 debug 之用; ?disabled:关闭,SELinux 并没有实际运作。 1.2 查看SELinux的模式 # getenforce Enforcing? <==就显示出目前的模式为 Enforcing 图1:查看SELinux的模式 1.3 查看 SELinux
selinux-中文手册
12-15
selinux-中文手册,忘记从哪里获取到的了,清晰度应该还是可以的
SeLinux安全模块实验报告
05-07
SeLinux安全模块实验报告,包括配置以及应用
Linux SELinux讲解
最新发布
m0_49864110的博客
02-25 4272
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型和进程安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
RHCSA认证考试----3.配置 SELinux
jiang0615csdn的博客
10-29 791
RHCE认证考试
百战RHCE(第三十战:linux高级应用-SElinux极简应用1)
little_startoo的博客
05-28 232
哈喽哈喽哈喽,大家好啊,很高兴大家能看到这篇文! 首先,本人目前是计算机专业的大一学生,基于对Linux操作系统的爱好,参与了RHCE的培训班,而我这次编写的 《百战RHCE》文,是基于我自己的学习经验浓缩而来的,保证简洁,方便理解! 而作为一名大学生,我想通过坚持的高水平文编写带给我自己本身经验的不断进步,同时也希望让更多的Linux新手能接触到更加系统的文学习。本次《百战RHCE》,会由浅入深,从最基本的命令行,到编写非常复杂的Ansible 自动化脚本 因为本人和你一样也是学习者,所..
软链接 硬链接 selinux 我的博客
weixin_34273046的博客
11-08 142
链接 软链接:指向性文件,若文件源删除 则通过软链接无法进入 硬链接相反软链接的建立 ln -s 文件名.link硬链接的建立 ln -s 文件名.hardselinux 1基本 SELINUX 安全性概念SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在...
linux---操作命令/文件与目录的权限/软连接/
python_web全栈
03-24 4879
1.常用命令 1 tree /home/ 树状形式显示 yum install tree 2 cat :查看文本内容 cat >> test2.txt <<EOF > ads > adf > EOF 3 less,more:文本查看,分页 less /etc/services 4 head -n1 /etc/services :查看该文件第一行 5 ps aux | head -n5 :查看前5个进程 6 tail -f /.
RHCE第七 selinux
qq_50589028的博客
02-04 624
MAC可以针对特定的进程与特定的文件资源来进行权限的控制。系统资源都是通过程序进行访问的,如果将/var/www/html/权限设置为777,代表所有程序均可对该目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以写入该目录,而该进程是对整个internet提供服务的。以上两个文件的角色字段都是object_r,代表都是文件,/usr/sbin/httpd属于httpd_exec_t类型,/var/www/html/则属于httpd_sys_content_t类型。
RHCE033133实验笔记.doc
02-24
本实验笔记详细记录了RHCE033133课程中的Linux使用基础内容,包括但不限于以下几个关键知识点: 1. **Linux命令行操作**: - 学习如何运行命令并利用`man`或`--help`选项获取帮助,提高对基础命令的理解与运用。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值