selinux的初级管理

最新推荐文章于 2020-02-24 17:17:42 发布
最新推荐文章于 2020-02-24 17:17:42 发布
阅读量241 收藏 2
点赞数
分类专栏: Linux 文章标签: 内核 selinux bool
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixlxl/article/details/79186980
版权

selinux的初级管理
1.什么时selinux
selinux,内核级加强型防火墙,对文件和服务,selinux会给他们加上安全上下文的标签,对服务功能进行限制,当某些服务需要访问文件时,selinux会对照双方的安全上下文,不一致就会拒绝访问。
2.selinux管理基本命令
selinux开启或者关闭)
vim /etc/sysconfig/selinux
selinux=disabled ##关闭状态
selinux=Enforcing ##强制状态
selinux=Permissive ##警告状态
getenforce ##查看状态
当selinux开启时
setenforce 0|1 ##更改selinux运行级别
ls -Z 查看安全上下文
这里写图片描述
Getenforce ##查看内核级状态
这里写图片描述
getsebool -a 打开内核级安全设置
getsebool -a | grep ftpd 打开内核级安全设置过滤ftpd服务安全设置

这里写图片描述

3.实验. 在selinux关闭的状态下,向/var/ftp/pub中传些文件

设置ftp服务本地用户可上传文件,/etc/sysconfig/selinux设置为enforcing
这里写图片描述
开启后会看到文件和服务上有一种类似标签的东西
这里写图片描述

切换/varftp/pub 新建文件111查看安全上下文,和pub一致,移动/tmp/file到//var/
/pub/下,会发现同pub目录不一致,复制/gpg文件又和pub目录安全上下文一致:因此可以看出,移动的文件在selinux开启的状态下安全上下文和目录会不一致,新建,复制会跟随目录的安全上下文,事实上,复制就是一个新建的过程。
这里写图片描述
这里写图片描述

当selinux=enforcing的时候,
ftp服务中安全上下文不匹配,则不会显示,当selinux=permisssive时,即使安全上下文不一致,也会显示
selinux=enforcing 注意file3文件
这里写图片描述
这里写图片描述
selinux=permissive
这里写图片描述
这里写图片描述

4.设置selinux=enforcing,临时更改安全上下文,使file3在ftp服务中显示:
命令:chcon -t 安全上下文 文件 (+R第归修改)
chcon -t public_content_t /var/ftp/pub/file3
这里写图片描述
这里写图片描述
设置/etc/sysconfig/selinux,selinux=disabled ,reboot重启,会发现mnt1的安全上下文变会临时改动前的了
这里写图片描述
这里写图片描述
5.Chocon相当于临时更改,当你重新刷新标签时,文件或服务的安全上下文又会变为原来默认的上下文,永久设定就得重新定义selinux默认上下文的规则了:

semanage fcontext -l ##列出内核安全上下文列表内容
这里写图片描述
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?’
##添加默认文件上下文规则
这里写图片描述
这里写图片描述

restorecon -FvvR /public/ ##R表示第归,vv显示过程,F指定文件
这里写图片描述

6.当配置文件开启匿名用户上传,并且/var/ftp/pub具有可写权力之后,依然不能上传,这是由于selinux对服务的功能进行了限制:
这里写图片描述

设置selinux=permissive,警告模式即可上传
这里写图片描述
这里写图片描述
7.控制selinux对服务功能的控制
getsebool -a | grep 服务名称
getsebool -a | grep ftp
setsebool -P 功能bool值 on|off
实验:
设置selinux=enforcing,/etc/vsftpd/vsftpd.conf配置文件匿名用户可以上传,/var/ftp/pub目录775权限,会发现匿名用户仍然无法上传,553报错。这时,setsebool -P ftpd_anon_write on;发现依旧无法上传,修改pub目录安全上下文rw,ftp服务匿名用户上传成功。
这里写图片描述

8.监控selinux的错误信息
Setroubleshoot-server是一款可以监控selinux错误信息的软件,可以帮助解决和selinux有关的错误,如果卸载就不会提示解决方法
实验:实验前selinux处于enforcing状态,关闭setsebool -P ftpd_anon_write off; bool值选择off,这时匿名用户无法上传文件
安装setroubleshoot-server软件,
这里写图片描述
这里写图片描述

匿名用户上传文件,553报错,
这里写图片描述
查看日志DO 后是解决方法。
这里写图片描述
/var/log/audit/audit.log ##selinux日志文件(记录信息但不提供解决方案)
多次修改setsebool,可能造成selinux上的功能的错乱,touch新建 /.autorelabel 然后reboot重置

还能中文
关注
专栏目录
Linux中SElinux初级管理
运维派
11-08 388
什么是SElinux? 其实 SELinux 是在进行进程、文件等细部权限设定依据的一个核心模块! 由于启动网络服务的也是进程,因此刚好也能够控制网络服务能否存取系统资源的一道关卡! 简而言之:selinux是强制访问控制安全系统,构建于kernel之上,拥有灵活而强制性访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保障,可防御未知攻击 编辑 /etc/sysconfig/seli...
SELinux管理
xiaojun_Fairy的博客
04-27 548
selinux基本概念SELinux(Security-Enhanced Linux安全增强型 Linux)是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/t
linux安装软件的三种方式
热门推荐
丹辰子的博客
09-23 1万+
原文:https://www.cnblogs.com/heiye123/articles/7291326.html 目录 【rpm工具】 【yum工具】 【安装源码包】   正文        在windows下安装一个软件很轻松,只要双击setup或者.exe的文件,安装提示连续“下一步”即可,然而linux系统下安装一个软件似乎并不那么轻松了,因为我们不是在图形界面下。所以你要...
selinux初级管理
passion_for_life的博客
11-07 323
selinux内核级加强型防火墙 作用:CONTEXT安全上下文(每个文件)pub_content_t   ##文件影响程序和文件安全上下文必须一致,否则程序访问文件被selinux拒绝每个目录安全上下文不一致 ls -Z /mnt /var   getsebool  不安全开关bool值,程序部分功能不可使用   ##服务影响 selinux的功能(1)限制服务的功能(2)限制服务访问功能 ...
Selinux初级管理
weixin_33810302的博客
11-21 53
1.什么是selinux selinux内核级加强型防火墙包括: 文件安全上下文 进程安全上下文 2.如何管理selinux级别selinux开启或者关闭) vim /etc/sysconfig/selinux selinux=disabled ##关闭状态 selinux=Enforcing ##强制状态 selinux...
selinux 初级管理
weixin_33800463的博客
11-24 56
1.什么是selinuxselinux内核级加强型防火墙如何管理selinux级别vim /etc/sysconfig/selinuxselinux=disabled(关闭状态)/Enforcing(强制状态)/Permissive(警告状态)getenforce查看状态当selinux处于开启状态时setenforce 1|0更改selinux运行状态如何更改安全上下...
Linux之SElinux初级管理
Wk_yyy的博客
01-26 492
一、什么是selinux selinux 内核级加强型防火墙
linux系统下的selinux初级管理
lyy962464的博客
08-21 444
一、selinux的安全性 1、selinux内核级加强型防火墙,是可以保护系统安全性的额外机制。 2、selinux的功能             限制服务的功能              限制服务访问功能 3、验证selinux的两个功能 1)在服务端/mnt/目录下建立westos文件,并将westos移动到/var/ftp/pub/下 2)匿名登陆lftp服务,发现wes...
运维学习之selinux初级管理
weixin_34024034的博客
08-09 87
selinux初级管理1.什么是selinuxselinux内核级加强型防火墙(内核上的一个插件)SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要...
Linux系统下的selinux初级管理
d__fyy的博客
08-15 384
一、SELINUX安全性定义 SELINUX(安全增强性Linux)是保护你系统安全性的额外机制也称为linux系统内核级加强型防火墙 在某种程度上,它可以被看作是与标准权限系统并行的权限系统,在常规模式中,以用户身份运行进程,并且系统上的文件与其它资源都舍子和了权限(控制哪些用户对哪些文件具有哪些访问权,SELINUX的另一不同之处在于,若要访问文件,你必须具有普通方 向权限和SELINU...
Linux下SELinux初级管理
weixin_45792518的博客
02-24 565
1.selinux功能 selinux内核级加强型火墙 selinux是用来保护系统安全性的一个插件 (1)seliux关闭状态时: 在/mnt/中建立文件,文件安全上下文为空,文件被移动到ftp默认发布目录中可以被访问,ftp程序安全上下文为空 用户可以上传文件 (2)当selinux开启后,以上功能操作均失败 不能访问新移动到ftp目录下的linuxfile文件,不能上传文件 se...
Linux—selinux初级管理
cainiaoayue的博客
11-14 199
文章目录一.什么是selinu二.selinux的三种模式三.如何管理selinux级别四.如何更改文件安全上下文 一.什么是selinu Selinux内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 二.selinux的三种模式 ...
linux系统SElinux初级管理
wwy0324的博客
05-17 472
[root@localhost ~]#systemctl start vsftpd[root@localhost ~]# touch /mnt/westos[root@localhost ~]# mv /mnt/westos /var/ftp[root@localhost ~]# lftp 172.25.254.202lftp 172.25.254.202:~> lsdrwxr-xr-x  ...
python字符串 列表 元组 字典 集合的相互转化
xixlxl的博客
03-25 1万+
一.字符串str 1.字符串转化列表 s = 'hello python' li = list(s) print li print type(s) print type(li) 结果 ['h', 'e', 'l', 'l', 'o', ' ', 'p', 'y', 't', 'h', 'o', 'n'] <type 'str'> <type 'list'&gt...
列表生成器及其方法
xixlxl的博客
03-24 8564
一.列表生成式 列表生成式是Python 内置的非常简单却强大的可以用来创建 list的生成式 求出1-9的平方数, print [ i**2 for i in range(1,10) if i !=0 ] 执行结果 [1,2,3,4,5,6,7] list=[i for i in range(1,8)] ``` list= [1,2,3,4,5,6,7] ...
elk
xixlxl的博客
05-30 6915
一.elk是什么? ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数...
数据库编程实例
xixlxl的博客
04-03 6085
判断数据库指定表是否存在import MySQLdb db = raw_input('请输入数据库名:') table_name=raw_input("请输入表名:") conn =MySQLdb.Connect(user='root',passwd='redhat',host='localhost',db=db,port=3306) cur=conn.cursor() cur.execute('s
flask框架静态路由和动态路由
xixlxl的博客
04-04 5123
Flask是一个Python编写的Web微框架,让我们可以使用Python语言快速实现一个网站或Web服务。 首先保证你的电脑可以正常上网:终端超级用户身份执行:pip install flask pycharm中不要以flask命名文件不然导入模块会发生问题: 这些问题鄙人可是经历过的@_@ 静态路由 from flask import Flask app = Flask(__...
SELinux管理与配置指南
与传统的自主访问控制(DAC)不同,SELinux提供了更为精细的权限管理,能够针对系统中的进程、文件、目录、网络连接等进行细致的权限设定。 在SELinux中,每个进程都有一个安全上下文(security context),这个上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值