selinux---扩展强制访问控制安全模块

最新推荐文章于 2023-12-11 12:02:04 发布
最新推荐文章于 2023-12-11 12:02:04 发布
阅读量1.1k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou562334410/article/details/83550422
版权

1.什么是selinux?

selinux是强制访问控制系统的实现,且位于Linux Kernel中。它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,如,它可以指明某一个进程访问哪些资源。
强制访问控制系统的用途在于增强系统抵御攻击的能力。

2.selinux的特点是什么?

SELinux系统比起通常的Linux系统来,安全性能要高的多,它通过对于用户,进程权限的最小化,即使受到攻击,进程或者用户权限被夺去,也不会对 整个系统造成重大影响。以前的访问控制基于读/写/执行这三 个控制位,文件所有者、文件所有者所属组、其他人各一套。在SELinux中,访问控制属性总是安全上下文三人组形式,所有文件和主体都有一个关联的安全 上下文,标准Linux使用进程用户/组ID,文件的访问模式,文件用户/组ID要么可以访问要么被拒绝,SELinux使用进程和客体的安全上下文,需 要特别指出的是,因为SELinux的主要访问控制特性是类型强制,安全上下文中的类型标识符决定了访问权。若要访问文件,必须同时具有普通访问权限和 SELinux访问权限。因此即使以超级用户身份root运行进程,根据进程以及文件或资源的SELinux安全性上下文可能拒绝访问文件或资源。

3.selinux的状态

SELinux 有三种工作模式,分别是:

1. enforcing:强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。

2. permissive:警告模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。  查看日志信息:cat  /var/log/audit/audit.log

3.disable :   关闭selinux

 注:selinux命令状态查询:getenforce

        文件编辑: /etc/sysconfig/selinux           (修改完之后,reboot 生效

         命令修改:setenforce  0        设置selinux为警告模式     (命令修改为临时修改,重启之后会恢复为之前的状态

                          setenforce   1       设置selinux为强制模式

4.selinux产生的影响是什么?

    1)影响程序的访问文件,通过安全上下文来控制的; 

    2)影响程序的服务程序功能,通过sebool值来控制的;

    3 )selinux开启后会关闭系统认为所有认为不安全的操作, 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。

    4 ) 系统上的文件和其他资源都设置了权限标签 ,控制哪些用户对哪些文件具有哪些访问权;一般来说,只有同时具有欧通系统访问权限和selinux访问权限,才能访问文件;               

5.selinux的安全上下文

    1.临时修改安全上下文             chcon    -t     public_content_t      westos

[root@localhost mnt]# getenforce            //查看当前selinux的状态
Permissive

[root@localhost ftp]# touch /mnt/westos       //建立文件

[root@localhost ftp]# cd /mnt 
[root@localhost mnt]# ls -Z    //查看安全上下文
 
-rw-r--r--. root root unconfined_u:object_r:mnt_t:s0 westos

[root@localhost mnt]# chcon -t public_content_t westos //临时安全上下文public_content_t

[root@localhost mnt]# ls -Z     //查看安全上下文

-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0  westos


[root@localhost mnt]# vim /etc/sysconfig/selinux //重启selinux,reboot2次,先修改selinux为disabled,后修改为enforcing 
[root@localhost mnt]# reboot 
[root@localhost mnt]# vim /etc/sysconfig/selinux 
[root@localhost mnt]# reboot 
[root@localhost ~]# cd /mnt 
[root@localhost mnt]# ls -Z //重启后查看安全上下文,会发现之前的改动并未生效
 -rw-r--r--. root root unconfined_u:object_r:default_t:s0 westos

2.永久修改上下文

semanage      fcontext       -l           内核指定的所有文件的安全上下文的列表 ;

man     semanage     fontext           查询semanage用法

 mkdir    /westos         

 vim    /etc/vsftpd/vsftpd.conf

anon_root=/westos         修改ftp服务的默认目录,添加这一行

 systemctl restart vsftpd               重启vsftpd服务

 ls   -Zd     /westos                  查看目录的安全上下文,为default_t

semanage  fcontext   -a  -t   public_content_t   '/westos(/.*)?'   永久修改selinux   其中,-a 添加 ; -t 指定类型 ;(/.*)目录的所有文件                    

semanage    fcontext -l   |  grep   /westos            查看westos的安全上下文是不是public_content_t

restorecon    -FvvR    /westos           刷新

touch       /.autorelabel       建立文件,相当于selinux  初始化

ls   -Zd    /westos     查看目录安全上下文

6.selinux布尔值

selinux布尔值是更改selinux的开关;有时候,selinux的访问权限可选可通过selinux布尔值触发,可以提高系统安全性。

    1. 安装lftp软件

selinux状态为警告/强制,在强制状态下,客户端切换到student用户,是不可以上传文件的

getsebool    -a  |  grep  ftp             查看ftp服务的bool值

设置布尔值(1开启,0关闭)

setsebool   -P  ftp_home_dir   1      开启允许用户lftp到自己的根目录下

测试:

7.监控selinux冲突

1.必须安装 setroubleshoot-server 软件包 , 才能将 SELinux消息发送至 /var/log/messages
2.setroubleshoot-server 侦听 /var/log/audit/audit.log 中的审核信息并将简短摘要发送至 /var/log/messages
3.摘要包括 SELinux 冲突的唯一标识符 ( UUIDs ), 可用于收集更多信息
4.Sealert -l UUID 用于生成特定事件的报告。Sealert-a/var/log/audit/audit.log 用于在该文件中生成所有事件的报告
5.当setroubleshoot-server 软件包存在时,客户端如果访问失败,cat /var/log/messages日志中会有解决方案
6.如果卸载setroubleshoot-server 软件包  日志中没有解决方案。

/var/log/audit/audit.logselinux日志存放处
/var/log/messagesselinux解决方案存放处

yum  install  setroubleshoot-server.x86_64   -y

实验环境:

>  /var/log/audit/audit.log

>  /var/log/audit/audit.log

测试:

ftp://172.25.254.20        没有看见westos

cat        /var/log/messages                 查看解决方案

注意:

提供解决方案的不是系统而是一个软件程序(setroubleshoot-server.x86_64 ),但此工具不安全,只是解决当前不能访问的问题;

如果删除此工具,在日志/var/log/messages下是不会看到解决方案;

方案1:

方案2:

在浏览器中查看   ftp://172.25.254.20   

8.tcp和udp协议

TCP/IP是Transmission Control Protocol/Internet Protocol的简写,中译名为传输控制协议/因特网互联协议,又名网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基 础,由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。

用户数据报协议(UDP)是ISO参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。UDP协议基本上是IP协议与上层协议的接口。UDP协议适用端口分辨运行在同一台设备上的多个应用程序。

cat /etc/services     查询每一个服务对应端口

cat /etc/services | grep -E "\<http\>"     查询http服务对应端口端口

修改http服务的端口

1.设置selinux为enforcing

2.yum  install   httpd        安装httpd        (默认端口为80)

修改  80  为  6161

systemctl  restart   httpd        重启服务  ( permissive 下不会报错)

重启时报错,说明不能重启。

semanage   port   -l  |  grep  http  查询并过滤http对应的端口有哪些

semanage   port  -a   -t   http_port_t    -p    tcp   6161       让httpd使用默认列表之外的端口6161

systemctl  restart   httpd     然后重启httpd

重启成功

发现httpd  有默认列表之外的端口6161出现。

 

zhou562334410
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 1762
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文,SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root root system_.
SELinux admin教程(openSUSE SELinux)
Heart_Soul的博客
07-15 2131
SELinux初级(管理员)教程 博主第一次写文章,记得多多支持啊 本教程用openSUSE leap 15.1,服务器配置为例 认真研究了SUSE GUIDE,SELinux adminDOC和CSDN各位大佬的博客,结合实际操作总结的 在开始之前,先来了解几个SELinux的概念: 用户(user) 注意SELinux的用户不等同与Linux用户,并且SELinux用户以后缀_u结尾 ...
container-selinux2.9-4.rar
06-20
centos系统安装docker时常缺此安装包, 下载rpm安装包后执行命令: rpm -i container-selinux-2.9-4.el7.noarch.rpm 即可完成安装,再继续docker其他安装。
Linux中的强制访问控制Selinux
qq_34267076的博客
09-03 2561
(工作当中都是默认关闭的) SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) SELinux的作用
linux学习笔记
qq_34971162的博客
12-11 2906
linux常规操作 linux目录结构 绝对路径是一个以根目录 / 为起点的完整路径 pwd可以获取当前目录的绝对路径 输入目录结尾最好加“/”用于区分文件 有了绝对路径后,不管你当前在哪个目录下,都可以通过指令进入指定目录 如果忘记了目录名、文件名或命令,可使用 Tab 键自动补全,还可避免输入错误;连续按两次 Tab 可以显示全部候选结果。 ctrl+c终止一条正在执...
Linux安全机制之Selinux
陈子陌的博客
11-20 3873
一、引言 1.1、什么是Selinux Selinux是一种MAC(强制访问控制安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。Selinux是一种MAC(强制访问控制安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。 本文下面讲的类似内容,有安卓源码的小伙伴可以到类似目录(android/device/softwinne
SELinux安全子系统
识途老码
09-06 1835
SELinux安全子系统
Linux安全SELinux理解
最新发布
bo_的博客
12-11 1439
restorecon -v /var/www/html/index.html # 如果要以回递的方式撤消整个目录的缺省安全性脉络 restorecon -Rv /var/www/html # 除此之外,如果我们只想检查/var/www/html目录内有哪些文件的安全性脉络需要被撤消 # 我们在采用 restorecon 时可以应用 -n 这个标旗来防止重新标签的行动 restorecon -Rv -n /var/www/html。在未启用 SELinux 的情况下,要控制用户的文件访问权,唯有通过。
selinux-te-tester:验证SELinux类型强制
05-02
SELinux类型强制测试器 概念 用自己的过程来验证Type Enforcement是很困难的,因为该过程不会接触不必要的地方,但是验证需要接触这些地方。 但是现在,我们有了一个好主意! Type Enforcement的控件与SELinux域和...
container-selinux-2.74-1.el7.noarch.rpm
12-02
解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm
container-selinux-2.9-4.el7.noarch.rpm
01-08
安装 Docker 时资源包docker-ce-18.03.1.ce-1.el7.centos.x86_64.rpm的依赖包
container-selinux-2.68-1.el7.noarch.rpm
05-14
centos 7.4 安装docker 18所需 container-selinux-2.68-1.el7.noarch.rpm
硬连接软连接
weixin_74812361的博客
03-10 95
rw-r--r--. 2 root root 0 Mar 10 16:12 只因.hard。-rw-r--r--. 1 root root 4 Mar 10 16:30 只因.hard。-rw-r--r--. 1 root root 4 Mar 10 16:30 只因.hard。-rw-r--r--. 2 root root 0 Mar 10 16:12 只因。-rw-r--r--. 1 root root 0 Mar 10 16:35 只因。
从头开始生成 SELinux
风信子的专栏
01-05 832
简介SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。有关这些主题的更多信息的链接,请参见本文后面的 参考资料 部分
selinux限制linux程序运行,应用SELinux中的目标策略限制进程运行
weixin_36053084的博客
05-06 697
一、安装SELinux相关的安装包虽然在有的Linux发行套件中已经缺省安装了SELinux(例如Fedora 10和Red Hat Enterprise Linux 5、6),然而用户还是需要了解具体安装SELinux所需要的安装包,下面对他们进行简要介绍,主要包括如下几个部分:Policycoreutils:提供与SELinux相关的命令,比如semanage,restorecon,audit...
selinux详解及配置文件
co1590的博客
06-26 2436
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ; 如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。 DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制。Root有最高权限无法限制。r,w,x权限划分太粗糙。无法针对不同的进程实现限制。 Selinux
RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制
weixin_33862514的博客
05-02 113
在本系列的前面几篇文章中,我们已经详细地探索了至少两种访问控制方法:标准的 ugo/rwx 权限(RHCSA 系列(三): 如何管理 RHEL7 的用户和组) 和访问控制列表(RHCSA 系列(七): 使用 ACL(访问控制列表) 和挂载 Samba/NFS 共享)。 RHCSA 认证:SELinux 精要和控制文件系统的访问 尽管作为第一级别的权限和...
linux系统如何启用安全内核,安全 - Linux 内核引导选项简介
weixin_34268604的博客
04-30 858
no_file_caps要求内核无视文件的权限。这样,执行文件的唯一途径就只有:由root去执行或者setuid rootnoexec={on|off}noexec32={on|off}是否允许将某部分内存映射为”禁止执行”,这是一种防止数据缓冲区溢出攻击的保护措施(也就是WinXP SP2曾经大力宣传的数据执行保护功能),建议保持默认值”on”。[说明]noexec对32bit代码以及64bit...
liunx下SELINUX强制模式带来的影响(提供解决方案)
试试看吧。
05-08 2551
一.SELINUX概念 SELINUX安全性增强型linux,内核型的加强性防火墙)是可保护系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权,SELINUX的另一个不同之处在于若要访问文件,必须具有普通访问权限和SELINUX访问权限。因此,即使以超级用户身份...
selinux-utils 源码在哪
07-15
selinux-utils是一个开源软件包,提供了与SELinux安全增强型Linux)相关的工具和库。 要找到selinux-utils源码,你可以遵循以下步骤: 1. 打开任何一个网页浏览器,进入一个搜索引擎,如Google、Baidu、Github等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值