Linux上使用SELinux保护网络服务

已于 2024-11-17 22:30:34 修改
阅读量1.5k 收藏 21
点赞数 19
分类专栏: Linux 文章标签: linux 网络 运维 服务器 selinux web安全
于 2024-11-16 23:16:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64122448/article/details/143823165
版权

前言

SELinux(Security-Enhanced Linux)是一种安全模块,用于增强基于 Linux 的操作系统的安全性。 它通过强制访问控制(MAC)机制来限制进程和用户对系统资源的访问权限,从而防止未经授权的操作。
在 SELinux 中,“上下文”是指与安全有关的信息标签,这些标签被附加到系统中的所有对象上,包括文件、目录和进程等。SELinux 上下文由三部分组成:用户(user)、角色(role)和类型(type)。每个对象都有一个安全上下文(security context),定义了该对象的安全属性。

简单了解SELinux

SELinux的三种运行模式

Enforcing(强制模式)
在强制模式下,SELinux 完全启用并强制执行所有安全策略。任何违反策略的操作都会被阻止,并且会记录到审计日志中。这是 SELinux 最严格的运行模式,适用于需要高安全性的环境。
Permissive(宽容模式)
在宽容模式下,SELinux 启用但不强制执行策略。系统会继续运行,但会记录所有违反策略的行为。管理员可以查看这些日志来调整和优化策略。
Disabled(禁用模式)
在禁用模式下,SELinux 完全关闭,系统不会应用任何 SELinux 策略。这意味着所有的安全增强功能都被禁用了。

工具

sestatus:查看 SELinux 当前状态和模式。
semanage:管理 SELinux 策略和安全上下文。
audit2allow:生成允许特定操作的策略模块。
restorecon:恢复文件和目录的安全上下文。

配置文件

SELinux的配置文件主要位于/etc/selinux目录下,其中主配置文件是/etc/selinux/config。

安全上下文

在本次实验中会多次查看修改安全上下文

类型部分指定了数据类型,即进程可以访问的文件类型。例如,httpd_sys_content_t 是用于 HTTPD 服务的文件类型,而 public_content_t 是公共内容类型。策略中定义了何种进程类型可以访问何种文件类型。
示例
假设有一个文件 /var/www/html/index.html,其 SELinux 上下文可能是 system_u:object_r:httpd_sys_content_t:s0:c105(/.*)?。这表示:
用户:system_u
角色:object_r
类型:httpd_sys_content_t
级别:s0
类别:c105

简单了解httpd服务

httpd服务,全称为Apache HTTP Server,是一个广泛使用的开源Web服务器软件。
本次实验需要通过httpd服务搭建供访问测试用的web站点。
配置文件

主配置文件位于/etc/httpd/conf目录下,其中最重要的是httpd.conf文件。常见的配置选项包括ServerName、DocumentRoot、ServerAdmin、ErrorLog、CustomLog等。

一:修改SELinux的安全上下文

在Linux中为保护web服务器的安全,可以通过启用SELinux,使服务器可以正常安全的运行。禁用SELinux可以正常访问web页面,启用SELinux后不能访问。可以通过修改SELinux的安全上下文来保证httpd进程能访问存放网页文件的目录。

1、Linux下安装httpd服务

本次实验采用yum源进行安装,可以先检查下yum中是否又可用的httpd包
在这里插入图片描述

安装httpd
在这里插入图片描述
在这里插入图片描述

2、将SELinux设置为容许状态

setenforce 0
getenforce //查看状态

在这里插入图片描述

3、设置永久放行http服务

首先查看当前防火墙现有规则(目前是没有http服务的)
在这里插入图片描述

设置防火墙永久放行http服务

firewall-cmd --permanent --add-service=http

注意 firewall-cmd --permanent --add-service=http
命令中的 firewall-cmd中间没有空格
在这里插入图片描述

//重新加载防火墙
firewall-cmd --reload

再次查看http服务是否被添加到规则中

在这里插入图片描述

3、创建站点

//创建站点目录 /www 作为根目录
mkdir /www

//将字符串 "selinux test01" 写入到文件 /www/index.html 中。如果该文件不存在,则会创建这个文件;如果文件已经存在,则会被覆盖。引号中的内容可自行修改
echo "selinux test01" > /www/index.html

echo: 这是一个命令,用于在终端输出指定的字符串。
“selinux test01”: 这是要输出的字符串内容,包含在双引号内,以确保字符串中的空格被正确处理。
:

最低0.47元/天 解锁文章
SELinux 的基本介绍及用法
awoyaoc的博客
05-14 8418
SELinux 的基本介绍及用法安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。进行实验时首先 [root@localhost ~]# rm -rf /etc/vsftpd/ [root@localh...
selinux使用
weixin_46097869的博客
02-25 322
selinux 1.selinux简介 SELinux: Secure Enhanced Linux, 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中。 在linux 中有两种...
Linux(26)—— SELinux 基本概念及故障排除
最新发布
m0_68756914的博客
04-03 1082
讲述了 SELinux 的基本概念、执行模式以及如何分析与解决 SELinux 问题。
Linuxselinux
二当家的
10-31 340
SELinux 的运作模式 主体 (Subject):SELinux 主要想要管理的就是程序,因此你可以将『主体』跟 process 划上等号; 目标 (Object): 主体程序能否存取的『目标资源』一般就是文件系统。因此这个目标项目可以等文件系统划上等号; 政策 (Policy): 由于程序与档案数量庞大,因此 SELinux 会依据某些服务来制订基本的存取安全性政策。这...
Linux中的SELinux
shinfocom
08-25 217
SElinux的前身是NSA(美国国家安全局)发起的一个项目。它的目的是将系统加固到可以达到军方级别。 为什么NSA选择Linux呢? 在目前市面上大多数操作系统都是商用闭源的,只有Linux是开源的,这样修改并加入这项功能就方便许多,而且没有版权纠纷。所以,现在selinux就成为了Linux内核的一部分。 在了解selinux之间,我们需要知道DAC和CS的概念,它们是linux...
SELinux
第九系艾文
08-15 324
SELinux: Secure Enhanced Linux, 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核。
Linux系统之SELinux详解
weixin_56303229的博客
03-03 2323
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程和用户只能执行那些被明确允许的操作。
13. Linux-RHCE精讲教程之SSHD服务(上)- 使用SELinux保护SSHD
Linux系统中,SSHD服务是一个非常重要的网络服务,负责远程安全登录和加密数据传输。它基于SSH(Secure Shell)协议,提供了一种安全的远程登录方式,替代了传统的telnet服务,加密通信防止了信息泄露和网络劫持。...
Linux系统之SeLinux服务
bread_winner的博客
08-11 853
Selinux是什么   Selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ;     Selinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有一个安全标签(即selinux上下文)进行区分,只有对应的标签才能允许访问,否则即使权限是777,也是不能访问的。    ...
Linux基础课件SELinux运行模式共10页.pdf
11-19
Linux基础课件主要聚焦在 SELinux(Security-Enhanced Linux)这一关键安全模块上,它是一种强制访问控制机制,旨在增强Linux操作系统的安全性。SELinux是美国国家安全局(NSA)开发的,其核心思想是将传统的用户...
SELinux的安装以及使用教程
qq_61883924的博客
07-24 1595
重启之后这个selinux服务都关闭了,所以无法通过setenforce切换模式和通过getenforce查看状况,但是可以修改/etc/selinux/config为permissive然后重启,重启电脑按ESC键,进入GRUB菜单,选择Ubuntu 按e进入编辑模式 在linux那一行末尾加上selinux=0禁用selinux,然后按ctrl+X重启进入系统。查看文件的SELinux上下文,可以使用。查看进程的SELinux上下文,可以使用。修改完之后保存,并且重启电脑。查看用户root的上下文。
SELinux入门
qq_38483583的博客
03-21 350
如果你在之前的Linux生涯中都禁用或忽略了SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的Linux桌面或服务器之下的SELinux系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 回到Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为Linux内核子系统引入了一个健壮的强制控制访问Mandat
DNS详解和selinux使用方式
热门推荐
weixin_64747212的博客
07-30 1万+
1.DNS的解析流程 2.DNS主从配置: 需要两台机器: 一台为主dns服务器,一台为从DNS服务器 3.使用httpd服务演示安全上下文值的设定(selinux) 4.使用web服务端口的改变来演示端口的设定(selinux)
selinux 服务
weixin_42859372的博客
08-13 503
Selinux (Security Enhanced Linux) SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查 操作系统有两类访问控制:自主访问...
SELinux详解
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
一文彻底明白linux中的selinux到底是什么
Data & Analysis
01-17 1241
一、前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管...
新手上路:学会使用SELinux保护你的系统
weixin_43945111的博客
10-21 1894
Selinux的基本使用
Linuxselinux详解
huaz_md的博客
03-10 5314
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其中u代表user。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值