SElinux(内核级加强型火墙)

最新推荐文章于 2024-01-29 10:39:02 发布
最新推荐文章于 2024-01-29 10:39:02 发布
阅读量427 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y_yang666/article/details/83830456
版权

########SElinux########
SElinuxL:内核级加强型火墙
CONTEXT:安全上下文
##selinux查看与修改##
1. getsebool -a | grep ftp ##查看指定服务selinux状态的功能开关
在这里插入图片描述
2. getenforce ##查看selinux目前的状态
在这里插入图片描述
Enforcing:强制模式
Permissive:警告模式
Disabled:关闭模式
3.修改selinux的状态
(1) 文件方式进行修改
vim /etc/sysconfig/selinux ##编辑selinux状态的文件
修改SELINUX=后面的内容,将你想要的模式加上去(我将它改为警告模式)
修改完之后必须要reboot重启
在这里插入图片描述
在这里插入图片描述
ssh root@172.25.64.164切换到此虚拟机,getenforce进行查看(修改成功)
在这里插入图片描述
(2)在selinux开启的状态下通过命令方式修改它的模式
setenforce 0 ##修改为Permissive模式
setenforce 1 ##修改为Enforcing模式
在这里插入图片描述
在这里插入图片描述
##安全上下文的修改##
<当程序的安全上下文和文件的安全上下文相匹配时才能被访问>
1.文件的安全上下文的修改
(1) touch /mnt/westosfile ##首先我在/mnt目录下建立westosfile文件
mv /mnt/westosfile /var/ftp ##再将文件移动到/var/ftp目录下
cd /var/ftp ##进到该目录下
ls -Z ##显示文件上下文信息
在这里插入图片描述
因为westosfile是从/mnt下移动过来,所以上下文与ftp目录下的不一致
(2) 在主机上lftp 172.25.64.164访问该虚拟机,接着ls进行查看
在这里插入图片描述
因为westosfile文件上下文不一致的原因看不到这个文件
(3) chcon -t public_content_t westosfile ##临时修改westosfile文件的安全上下文
在这里插入图片描述
lftp 172.25.64.164 进行查看,此时应该能访问到westosfile文件了
在这里插入图片描述
2.目录的安全上下文的修改
(1). vim /etc/vsftpd/vsftpd.conf ##编辑该文件
修改anon_root=后面的内容为/ftphome ##访问时默认目录为/ftphome
修改完后systemctl restart vsftpd ##重启服务
在这里插入图片描述
在这里插入图片描述
(2) ls -Zd /ftphome/ ##查看一下/ftphome目录的安全上下文
chcon -t public_content_t /ftphome/ -R ##修改目录及子目录的安全上下文
在这里插入图片描述
在这里插入图片描述
lftp 172.25.64.164 进行查看
在这里插入图片描述
(3)semanage命令
semanage fcontext -a -t public_content_t ‘/ftphome(/.*)?’ ##修改目录及子目录默认的上下文
semanage fcontext -l | grep /ftphome ##查询/ftphome目录默认的安全上下文
在这里插入图片描述
(4)restorecon -RvvF /ftphome/ ##恢复目录及子目录的正确的安全上下文
在这里插入图片描述
在这里插入图片描述
lftp 172.25.64.164 进行查看
在这里插入图片描述
##SElinux开启时匿名用户文件的上传##
1. Permissive警告模式下文件的上传
(1)setenforce 0 ##将SElinux模式改为警告模式
在这里插入图片描述
(2)getsebool -a | grep ftp ##查看ftp服务的各功能状态
在这里插入图片描述
(3)setsebool -P ftp_home_dir on ##开启可以进入目录的功能
在这里插入图片描述
(4)vim /etc/vsftpd/vsftpd.conf ##编辑该文件
anon_upload_enable=YES ##匿名用户可以上传文件
#anon_root=/ftphome ##注释掉匿名用户登录时的指定目录
在这里插入图片描述
在这里插入图片描述
(5) 修改完配置文件后systemctl restart vsftpd重启服务
chgrp ftp /var/ftp/pub/ ##更改pub目录下文件的所有组
chmod 775 /var/ftp/pub/ ##给指定目录775权限
在这里插入图片描述
(6) lftp 172.25.64.164 ##匿名登录虚拟机
cd pub/ ##进到pub目录下
put /etc/passwd ##上传文件
此时应该可以上传
在这里插入图片描述
2.Enforcing强制模式下文件上传
(1) setenforce 1 ##将SElinux模式改为强制模式
在这里插入图片描述
此时是上传不了文件的
在这里插入图片描述
(2) setsebool -P ftp_anon_write on ##开启匿名用户上传的功能
在这里插入图片描述
(3)chcon -t public_content_rw_t /var/ftp/pub/ ##给指定目录的上下文读写权限
在这里插入图片描述
(4) lftp 172.25.64.164 ##登录虚拟机
cd pub/ ##进到pub目录
put /etc/group ##上传文件
此时在强制模式下可以上传文件了
在这里插入图片描述
##SElinux的日志文件##
<SElinux的日志文件保存在/var/log/audit/audit.log文件中>
<SElinux的问题解决方案在/var/log/messages文件中>
setroubleshoot软件会将SElinux问题的解决方案采集到/var/log/messages中
1.首先我们创造出一个问题
touch /mnt/file ##在mnt下创建file文件
mv /mnt/file /var/ftp/ ##移动file到/var/ftp下
lftp 172.25.64.164 ##登录虚拟机
在这里插入图片描述
看不到file,所以问题创造出来了
2.现在我们先卸载setroubleshoot软件看其是否有解决方案
在这里插入图片描述
在这里插入图片描述
没有解决方案
3. 接着下载setroubshoot软件,/var/log/messages就会有解决方案了
在这里插入图片描述
在这里插入图片描述

y_先森
关注
Selinux内核加强型火墙
wzt888的博客
11-06 281
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。设想一下,如果一个以 root 身份运行的网络服务存在 0day 漏洞,黑客就可以利用这个漏洞,以 root 的身份在您的服务器上为所欲为了。是不是很可怕?SELinux 就是来解决这个问题的。 ...
Linux学习笔记23】selinux内核加强型火墙的管理(安全上下文、Sebool、Seport、Setrouble)
weixin_46069582的博客
12-02 652
文章目录1. Selinux1.1 Selinux关闭状态1.2 Selinux开启状态1.3 Selinux的影响2. Selinux管理状态2.1 查看状态2.2 Selinux切换状态2.3 Selinux日志位置3. Selinux安全上下文(Content)3.1 查看安全上下文3.2 临时修改安全上下文3.3 永久修改安全上下文4. Sebool4.1 上传文件失败4.2 修改Sebool解决5. Seport(Selinux端口标签)6. SeTrouble(Selinux排错)6.1 Set
Selinux内核加强型火墙)简介与用法
weixin_43275140的博客
11-08 295
一、selinux简介 SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。设想一下,...
linux系统中的SElinux内核加强火墙
weixin_45606836的博客
11-15 186
实验环境 重装ftp rm -fr /etc/vsftpd/ yum reinstall vsftpd -y 允许匿名用户可以上传文件 vim /etc/vsftpd/vsftpd.conf anon_upload_enable=YES ##打开允许上传文件 systemctl restart vsftpd chmod 775 /var/ftp/pub/ chgrp ftp /var/ftp/...
linuxselinux内核加强型火墙
hetoto的博客
11-07 583
一.selinux是什么? selinux(secure linux):内核加强型火墙二.selinux支持的三种模式 enforcing  ##强制开启,警告且不允许 permissive ##警告开启,警告且允许 disabled   ##关闭三.如何切换 开启和关闭模式切换,需要重新启动 两种开启模式可以相互转换,不需要重启动 setenforce 0 ##警告 setenforce 1 ...
linux中的内核火墙SELINUX
dlin33的博客
11-05 272
SElinux是基于内核开发出来的一种安全机制,被称之为内核加强型火墙,有力的提升了系统的安全性。 SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能 在linux系统中使用 getenforce 命令可以查看selinux的状态:   disabled 为关闭状态,对服务和功能都没有限制   enforcing 为强制状态,对服务和功能都...
SELinux(内核加强型火墙)
qq_36275923的博客
11-13 476
文章目录SELinuxSELinux设定一.查看、更改SELiunx状态二.对安全上下文的修改三.修改程序的bool值四.SELinux报错的问题及解决方法 SELinux   SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访...
Linux内核加强型火墙的管理(Selinux
weixin_47408850的博客
11-14 841
一、Selinux的状态及管理 1、selinux的开启和关闭 SELINUX=disabled #selinux关闭 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启 enforcing: 不符合条件一定不能被允许,并会收到警告信息 permissive: 不符合条件被允许,并会收到警告信息 注:sel...
Linux内核加强型火墙的管理
weixin_44717560的博客
11-19 1188
Linux内核加强型火墙的管理一、selinux的状态及管理1.selinux的开启(永久性)2.临时修改selinux状态二、Selinux的安全上下文1.查看2.修改安全上下文1.临时修改2.永久改变三、SEBOOL和SEPORT的更改1.SEBOOL2.SEPORT的更改四、setrouble1.先将查找错误的工具卸载掉2.将setroubleshoot-server.x86_64装上 一、selinux的状态及管理 1.selinux的开启(永久性) vim /etc/selinux/confi
Linux内核火墙Selinux
Wielun
02-03 352
selinux的状态查看和修改 getenforce ###查看状态 setenforce 0|1 ###0:permissive警告模式 1:enforcing强制模式 vim /etc/sysconfig/selinux SE...
bxxt:Android BOOT.IMGSELINUX工具
04-01
BXXT 如果遇到了非预期的结果或者BUG或者无法启动,请提交ISSUE并附上boot bxxt是一个在研究安卓物理机群控过程中搞出来的一个自用小工具。注意:这个工具只能在模拟器和实际机器的环境运行,并且并不能运行在你的linux主机或者电脑上。 它当前在安卓6.0-安卓10部分设备上经过了测试。 目前,它的所有功能都是基于我本人的需求,所以不一定确保它适合你。它目前可以处理boot.img的解包打包,以及selinux临时及动态修改。繁琐的步骤以及脚本。 首先,请确保下载了当前目录下的bxxt推bxxt手机上且加上了可以调用权限 截屏 开机启动 实际上,你只需要这一条命令 bxxt boot -i boot.img -o /path/to/output 即可把boot.img中的大部分东西,变成你想要的样子(它会连内核也帮你解压好)。 同样,打包也非常简单 bxxt boot -i /
linux-selinux功能及源码分析
03-22
该书详细介绍了linux中关于selinux部分功能的实现流程和关键代码分析
SElinux下通过setroubleshoot工具排错
weixin_33973609的博客
06-02 2393
setroubleshoot是查看SElinux日志报错的命令,对于这个命令的用法,本人现总结如下,如有有用得着的朋友,可以瞅瞅哦1.首先查看一下个个的主机上是否安装了setroubleshoot,如果没有安装 则yum安装就行了(yum的配置暂不赘述)2.检查是否有安装http vsftp 若没有安装,则也先要安装下3.重启httpd服务 service httpd...
linux setroubleshootd进程 内存占用过大
whatday的专栏
07-26 3481
问题: 服务器发现问题:内存占满,甚至swap也完全占用。 解决: 系统8G内存,setroubleshootd进程占用4G,该进程SElinux的守护进程,关闭SElinux即可。 vi /etc/selinux/config #注释掉 #SELINUX=enforce #注释掉 #SELINUXTYPE=targeted #增加 SELINUX=disabled 修改配置文件,重启生效 ...
linux安装sealert工具,selinux-setroubleshoot安装及详解
weixin_39647773的博客
05-11 570
selinux对超管理员也有效安全加强型linux自主访问体制 :又大变小user group other\ | /file/ | \r w x强制访问体制 最小权限:由小该大打开SELINUXsestatus 查看slinux状态vi...
Linux内核加强型火墙的管理(Selinux的功能、状态管理、安全上下文的修改、Sebool、Seport、排错工具)
S_K15的博客
06-02 479
Linux内核加强型火墙的管理一、Selinux的功能1、实验环境2、观察现象3、selinux的影响二、Selinux的状态及管理1、selinux的开启2、selinux状态的查看与转换三、Selinux的安全上下文1、查看安全上下文2、修改安全上下文 一、Selinux的功能 1、实验环境 (1)关闭selinux,然后重启 vim /etc/selinux/config reboot (2)安装vsftpd并设定开机启动,添加到火墙 dnf install vsftpd -y systemct
SELINUX导致的网络服务问题解决
wudongfang666的专栏
01-29 687
这里关于auditd说明,centos7不可以用systemctl重启auditd服务,需要用service audite restart命令来重启(安装setroubleshoot后,需要重启此命令后才可以正常写入日志到/var/log/message里面,否则在错误日志里面是看不到详细信息的,如下图---创建访问页面,然后复制到相关的目录下(以为安全上下文不通,导致访问拒绝,正常可以在相关目录下创建访问页面,但是为了问题复现在其他目录下创建文件如图,可以看到type是admin_home_t。
声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)
最新发布
11-06
声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目),含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。该项目可以直接作为毕设、期末大作业使用,代码都在里面,系统功能完善、界面美观、操作简单、功能齐全、管理便捷,具有很高的实际应用价值,项目都经过严格调试,确保可以运行! 声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+文档说明(高分项目)声发射定位算法 Matlab 仿真项目源码+
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值