控制SELinux端口标记

已于 2023-08-24 20:58:12 修改
阅读量318 收藏 1
点赞数
分类专栏: Linux RH 文章标签: linux 运维
于 2023-08-03 07:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59994613/article/details/132073102
版权
Linux 同时被 2 个专栏收录
42 篇文章 0 订阅
订阅专栏
RH
20 篇文章 3 订阅
订阅专栏

文章目录

主要内容

  1. 将servera系统配置在非标准端口上允许HTTP访问。

本次实验案例用到的命令

命令说明
httpd用于托管网站和提供Web服务
sealert用于分析和解释SELinux(Security-Enhanced Linux)日志的工具
semanage用于管理SELinux策略的命令行工具
curl用于发送和接收HTTP请求

预备知识

SELinux使用端口标签来管理网络服务的访问控制。每个网络服务都被分配了一个特定的端口标签,用于定义其允许的网络访问规则。SELinux根据这些标签来决定是否允许或拒绝进程对特定端口的访问。

管理端口标签可以使用semanage命令。以下是一些常用的semanage命令和示例:

  1. 查看已定义的端口标签:

    semanage port -l

  2. 添加一个新的端口标签:

    semanage port -a -t <标签名> -p <协议> <端口号>

  3. 删除一个已定义的端口标签:

    semanage port -d -t <标签名> -p <协议> <端口号>

  4. 修改一个已定义的端口标签:

    semanage port -m -t <标签名> -p <协议> <端口号>

例如,要为HTTP服务添加一个新的端口标签,可以使用以下命令:

semanage port -a -t http_port_t -p tcp 80

这将为TCP端口80分配http_port_t标签。

要删除一个已定义的端口标签,可以使用以下命令:

semanage port -d -t http_port_t -p tcp 80

这将从TCP端口80中删除http_port_t标签。

需要注意的是,对于一些常见的网络服务,如HTTP(80端口)、HTTPS(443端口)、FTP(21端口)等,通常已经预定义了对应的端口标签,无需手动添加或删除。

通过semanage命令,管理员可以灵活地管理SELinux的端口标签,以确保网络服务的安全访问控制。

一.控制SELinux端口标记

  1. 在servera上运行Web服务器,以便成功在非标准端口上提供内容。

1.尝试通过重启httpd服务来修复Web内容的问题。

代码如下(示例):
systemctl restart httpd.service //此命令预计失败
systemctl status -l httpd.service  //显示httpd服务状态

在这里插入图片描述

2.使用sealert命令检查SELinux是否在阻止httpd绑定到端口82/TCP。

代码如下(示例):
sudo sealert -a /var/log/audit/audit.log

在这里插入图片描述

3.将SELinux配置为允许httpd绑定的端口82/TCP,然后重新启动httpd.service服务。

代码如下(示例):
semanage port -l | grep http //查找适合的端口类型
semanage port -a -t http_port_t -p tcp 82 //分配类型
systemctl restart httpd.service

http_port_t 中包含默认HTTP端口80/TCP和443/TCP。这是Web服务器的正确端口类型。

在这里插入图片描述

4.检查您现在是否可以访问在端口82/TCP上运行Web服务器。

代码如下(示例):
curl http://servera.lab.example.com:82

在这里插入图片描述

5.在另一个终端窗口中,检查是否可以从workstation访问新的Web服务。

代码如下(示例):
curl http://servera.lab.example.com:82

在这里插入图片描述

6.在servera上,打开防火墙上的端口82/TCP。

代码如下(示例):
firewall-cmd --permanent --add-port=82/tcp  //在servera上的防火墙默认区域的永久配置中打开端口82/TCP。
firewall-cmd --reload  //激活防火墙更改

在这里插入图片描述

7.使用curl 命令从workstation访问Web服务。

代码如下(示例):
curl http://servera.lab.example.com:82

在这里插入图片描述

总结

以上是今天要讲的内容,学到了控制SELinux端口标记。

K要努力
关注
专栏目录
SELinux访问控制机制系列:SELinux概述
路漫漫其修远兮,吾将上下而求索。
05-16 1940
SELinux使用了分级的强制访问控制,是Linux内核的重要安全措施。SELinux的安全策略工具可从http://oss.tresys.com下载。本篇分析了SELinux的安全机制,介绍了安全策略配置语言、内核策略库的结构,简述了SELinux内核模块的实现,还分析了用户空间的客体管理器。 1. SELinux概述 SELinux是安全增强的Linux,是Security-enhanced ...
4-网络端口安全性-管理selinux安全标记
拙能胜巧
06-14 1220
1.服务器:创建测试环境。2.服务器:重新启动httpd服务,发现服务服务启动,查看详细的启动过程,发现82端口被拒绝,查看安全提醒的审计日志,发现selinux阻止httpd服务访问tcp_socket。3.服务器:查看selinux对http端口的管理,一般性的端口80使用的是http_port_t类型,因此将82端口也添加为此类型。添加后重新启动httpd服务。4.服务器:通过curl直接访...
linux让防火墙(selinux)开启端口
02-06
linux让防火墙(selinux)开启端口,开启80 3306 等端口
SELINUX安全管理web小实验
最新发布
qq_64304610的博客
07-09 783
什么是SELinuxSELinux,全称为Security Enhanced Linux,是一个基于Linux安全模块(LSM)的强制访问控制系统。它通过为系统中的每个进程、文件和端口分配安全上下文(标签),并基于这些上下文实施访问控制,从而增强了Linux系统的安全性。
selinux端口标记(基于yum仓的配置)(实验需要两个虚拟机:一台CentOs,一台红帽6)
qq_63533962的博客
11-29 4307
https://blog.csdn.net/yanjun821126/article/details/80828908?utm_source=app&app_version=4.17.2&code=app_1562916241&uLinkId=usr1mkqgl919blenhttps://blog.csdn.net/yanjun821126/article/details/80828908?utm_source=app&app_version=4.17.2&code
Selinux
Redhat_yan
06-28 1626
学习selinux
iptables管理以及selinux对服务端口的影响
asufeiya的博客
08-19 495
#######IPTABLES########## yum list iptables-services systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl start iptables.service systemctl enable iptables.service ...
linux环境端口策略,selinux 改变策略端口
weixin_33425215的博客
05-05 248
yum install memcached.x86_64 memcached-devel.x86_64改memcached启动命令,添加了两个端口,但启动始终只有11211的能启动,研究半天才想起来应该是selinux限制的。默认不安装selinux的管理工具,安装先yum install setroubleshoot-server.x86_64 policycoreutils-python.x8...
启用SELinux保护,本地端口转发
qq_40380640的博客
05-25 443
1 案例1:启用SELinux保护 1.1 问题 本例要求为虚拟机 server0、desktop0 配置SELinux: 确保 SELinux 处于强制启用模式 在每次重新开机后,此设置必须仍然有效 1.2 方案 SELinux,Security-Enhanced Linux:是由美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制,针对用户、进程、文档标记安全属性并实现保护性限制。...
Linux系统selinux目录,SELinux深入理解
weixin_33278819的博客
05-05 866
1. 简介SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。Security-Enhanced Linux (SELinux)由以下两部分组成:Kernel SELinux模块(/kernel/security/selinux)用户态工具SELinux是一个安全体系结构,它通过LSM(Linux Security Modules)框架被集成到Linux Kernel ...
SELinux安全策略和探释.pdf
10-18
SELinux中,每个文件都会被标记为特定的类型(type),而运行中的每一个进程也会被标记为特定的域(domain)。这种类型的标记确保了进程仅能执行其必需的操作。例如,HTTP服务进程(如Apache)只能在httpd_t域中...
Selinux 安全上下文与端口控制
lovely_nn的博客
05-25 1260
设置 selinux 的安全上下文、开放服务相关端口、以 httpd 服务为例
Selinux下httpd端口的设置
weixin_44783160的博客
08-17 2779
Selinux端口的设置 (1) yum install httpd -y ##安装服务 systemctl start httpd ##开启服务 此时Selinux状态为:Enforcing (2)netstat antlupe | grep httpd ##查看httpd端口为80 (3) vim /etc/httpd/conf/httpd.conf ...
selinux端口标签的管理
llllyr的博客
05-19 1253
我们在部署服务时会遇到如下问题:当selinux为强制模式时,修改服务端口号(如:apache服务端口为8888 vim /etc/httpd/httpd.conf)当我们重启服务时发现重启失败(重启apache服务时 无法重启服务,)这是因为selinux端口标签中不存在我们所修改的端口号(不存在8888端口) 这是我们需要为selinux端口标签添加新的端口号或者将服务端口修改为selinux标签中存在的端口,方可解决问题! (为selinux添加8888端口标签,再次重启服务,重启成功) 管理.
linux增加端口
zf04295的博客
06-16 1377
1 /sbin/iptables -I INPUT -p tcp --dport 8092 -j ACCEPT 2 查看防火墙所有开放的端口 firewall-cmd --zone=public --list-ports 3 开放端口 firewall-cmd --zone=public --add-port=8092/tcp --permanent 关闭端口 firewall-cmd --zone=public --remove-port=5672/tcp --permanent 4 配置立即生效 fir
selinux安全端口添加ssh
weixin_30955617的博客
03-06 560
semanage port -a -t ssh_port_t -p tcp 932 1. 获取当前 SELinux 运行状态 getenforce 2. 改变 SELinux 运行状态 setenforce [ Enforcing | Permissive | 1 | 0 ] 1. 让 Apache 可以访问位于非默认目录下的网站文件 首先,用 semanage fcontext -l...
linux selinux 端口,修改LinuxSSH的端口SELinux究竟是什么
weixin_35433770的博客
05-01 272
最近,发现修改ssh端口后,无法启动ssh服务,发现是SELinux限制了这个,此篇文章简单记录下。SELinux简介SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。SELinux 有三种工作模式,分别是:enforcing:强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。permissive:宽容模式。违反 SELinux 规则的行为只会记...
contOS 7中selinux不允许使用自定义端口
weixin_34150830的博客
02-25 940
首先声明:如果不使用selinux则可以跳过本文章在contOS 7上安装了nginx服务,为了项目需要必须修改nginx的默认80端口为8088,修改配置文件后重启nginx服务,查看日志报以下错误:[emerg]9011#0:bind()to0.0.0.0:8088failed(13:Permissiondenied)权限被拒绝,开始以为是端口被别的程序占...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

K要努力

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值