selinux

最新推荐文章于 2025-08-26 20:05:29 发布
原创 最新推荐文章于 2025-08-26 20:05:29 发布 · 166 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

一、相关知识
selinux 内核级加强型防火墙
1、针对文件,会对系统中每个文件添加安全上下文(context)
2、针对进程,会对系统中的每个进程添加全上下文(context)
3、会在系统服务上设定sebool开关
4、当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
4、sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值
二、selinux对文件访问服务的影响

  • 在安装ftp服务的主机中操作
    配置文件: /etc/sysconfig/selinux
    vim /etc/sysconfig/selinux
      enforcing #强制模式 (重新加载安全上下文,必须重启才能设置)
      permissive #警告模式
      disabled #关闭

  • Enforcing 模式与Disable 之间切换需要重启

  • Enforcing 时只加载ftp可访问的安全上下文

  • Permissive 可访问不同安全上下文
    更改方式

    setenforce 0|1 #更改selinu当前的级别0警告1标示强制开启

在这里插入图片描述

  vim /etc/sysconfig/selinux
   reboot

在这里插入图片描述

ls -Zd /var/ftp/*  #查看文件或目录属性及上下文信息

测试:
在selinux开启模式与警告模式下,对于与ftp可访问的安全上下文相同和不同的查看情况。
【1】

yum install vsftpd -y
systemctl start vsftpd
systemctl enable vsftpd

在这里插入图片描述
【2】

chmod 775 /var/ftp/pub
chgrp ftp /var/ftp/pub #使所有匿名用户拥有读写执行的权力
vim /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES
systemctl restart vsftpd

在这里插入图片描述
在这里插入图片描述
【3】

getenforce #查看状态
setenforce 0
ls -Zd /var/ftp/pub/*
ps auxZ | grep vsftpd #过滤查看vsptd进程加载的上下文

警告模式下:
匿名用户可以查看安全上下文不同的文件
在这里插入图片描述
强制开启模式下:
匿名用户不能查看安全上下文不同的文件
在这里插入图片描述
**ftpd_t安全模式所能访问的安全上下文是public_content(对应的服务只能访问对应的安全上下文)

更改安全上下文为ftpd能识别的类型
临时更改:

chcon -t public_content_t /var/ftp/pub/file

在这里插入图片描述
永久更改:
修改目录及目录中所有文件的安全上下文

semanage fcontext -a -t public_content_t '/westos(/.*)?' #目录及目录中所有安全上下文
restorecon -RvvF /westos/ 重新刷新
-a-tvvF
添加指定上下文显示过程刷新

在这里插入图片描述
打开selinux后会限制用户权限:

getsebool -a | grep ftp #查看selinux状态
   ftp_home_dir #打开本地用户家目录开关则可执行文件中的相应功能,否则selinux
开启,只能查看不能操作
   ftpd_full_access #selinux总开关,不安全,匿名用户本地用户均不受selinux限制
打开家目录开关
setsebool -P ftpd_full_access on #打开sexlinux中允许的权限,打开后会在/etc/vsftpd/vsftpd.conf中查找开启的权限

测试:
【1】

setenforce 1
getenforce

在这里插入图片描述
【2】

getsebool -a | grep ftp

在这里插入图片描述
【3】

setsebool -P ftpd_full_access on
vim /etc/vsftpd/vsftpd.conf
systemctl restart vsftpd
lftp 172.25.254.119

在这里插入图片描述
【4】

setsebool -P ftpd_full_access down
setsebool -P ftp_home_dir on
vim /etc/vsftpd/vsftpd.conf
systemctl restart vsftpd
lftp 172.25.254.119 -u student

在这里插入图片描述
在这里插入图片描述
三、selinux开启状态下对httpd服务端口修改的影响

	getenforce  #查看selinux状态
	vim /etc/sysconfig/selinux
	selinux=enforcing

在这里插入图片描述

	netstat -antulpe | grep httpd  #查看httpd服务开启的端口,此时为80端口       semanage port -l | grep http  #查看httpd服务拥有的端口
    netstat -antulpe | grep 8888 #查看8888端口有没有被占用 
    semanage port -a -t http_port_t -p tcp 8888 #将协议为tcp的8888端口添加为httpd服务端口

在这里插入图片描述
查看http_port_t服务拥有端口
在这里插入图片描述
添加8888端口为http服务端口:
在这里插入图片描述

	vim /etc/httpd/conf/httpd.conf
	Listen 8888
	systemctl restart httpd
	netstat -antulpe | grep httpd

修改httpd服务开放端口为8888:
在这里插入图片描述
此时httpd开放端口为8888:
在这里插入图片描述
删除端口:

	semanage port -d -t http_port_t -p tcp 8888
	vim /etc/httpd/conf/httpd.conf
	Listen 80
	systemctl restart httpd
	netstat -antulpe | grep httpd

修改开放端口:
在这里插入图片描述
移除拥有端口8888:
在这里插入图片描述

SELinux 模式设置
changyanmanman的专栏
06-16 4092
1、aspell命令:检查文件的错误,eg:检查testfile的文件错误 aspell -c testfile ; 2、attr命令:XFS文件系统对象的扩展属性,相关的命令有:getfattr、setfattr、attr_get、attr_set、attr_multi、attr_remove、attr、xfssdump。 查看目录/tmp 的命令:attr -l /tmp/  3、ck
Linux简单命令 -- SELinux调试
qq_50929489的博客
09-22 1549
Linux简单命令 -- SELinux调试
【Android 逆向】selinux 进程保护 ( selinux 进程保护 | 宽容模式 Permissive | 强制模式 Enforcing )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-22 4444
一、selinux 进程保护、 二、宽容模式与强制模式
如何设置确认selinux 模式
老雷的Android学习
09-11 6308
[Description] linux SELinux 分成Enforce 以及 Permissive 两种模式,如何进行设置与确认当前SELinux模式? [Keyword] android, SELinux, Enforce, Permissive [Solution] 在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 来增强and
SELinux
最新发布
m0_46589218的博客
08-26 1198
SELinux(Security-Enhanced Linux,安全性增强的 Linux)是由美国国家安全局(NSA)主导开发的安全子系统,自 Linux 2.6 内核版本起被正式整合到主流 Linux 发行版中(如 CentOS、RHEL、Fedora 等)。在传统 Linux 自主访问控制(DAC)的基础上,增加一套强制性访问控制(MAC)机制,实现对系统资源(文件、目录、端口、进程)的精细化权限管控,达到信息安全评估标准中的B1 级(军事级安全)防护能力。
seLinux
fatsheep8_5的博客
11-09 1001
1、selinux意思是安全强化的Linux。2、selinux最开始开发的的目的是为了避免资源的误用3、SELinux是对程序、文件等权限设置依据的一个内核模块。由于启动网络服务的也是程序,因此刚好也是能够控制网络服务能否访问系统资源的一道关卡4、传统的文件权限与账号的关系:自主访问控制,DAC(Discretionary Access Control)。当某个进程想要对文件进行访问时,系统就会根据该进程的所有者/用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。
Selinux
Redhat_yan
06-28 1807
学习selinux
SELINUX
qq_43008530的博客
11-14 716
1. 了解selinux (1)什么是selinux Selinux,内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 (2)selinux的三个模式 Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELi...
SElinux
2403_87547058的博客
11-23 973
SELinux是Security-.Enhanced Linux的缩写,意思是安全强化的linux·SELinux主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用·传统的访问控制在我们开启权限后,系统进程可以直接访问·当我们对权限设置不严谨时,这种访问方式就是系统的安全漏洞·在开启SElinux后。会对进程本身部署安全上下文。会对文件部署安全上下文。会对服务使用端口进行限制。会对程序本身的不安全功能做限制。
SELinux SELinux SELinux
09-14
SELinux(Security-Enhanced Linux)是一个安全模块,它提供了对Linux操作系统上的强制访问控制(MAC)架构的支持。SELinux的主要目的是减少操作系统和应用程序中的安全漏洞,增强系统的安全性。SELinux的工作原理是...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-policy-3.13.1-268.el7-9.2.x64-86.rpm.tar.gz
02-03
在这个文件中,包含了名为selinux-policy-3.13.1-268.el7_9.2.x64-86.rpm的软件包以及其依赖文件。这类文件是通过RPM(Red Hat Package Manager)包管理器进行安装的,通常在基于Red Hat的Linux发行版中使用,比如...
网桥br0的搭建及解决ping不通的难题
热门推荐
CapejasmineY的博客
08-06 1万+
一、什么是网桥? br0 桥接主机与虚拟机 enp0s25 真实物理网卡 删除掉之后则没网,不能使用ssh 真机上网是通过内核调用网卡与外界进行联系的。 虚拟机的网卡是虚拟化的,不能直接上网。 虚拟机通过使用真机上面的kernal上面开启一个网络接口,进而使用真机的网卡与外界通信 二、NAT(地址转换模式) 如果网络IP资源紧缺,要想让虚拟机连网,这时NAT模式是最好的选择。NAT模式借助虚拟NA...
虚拟机IP修改及vim命令模式下的操作
CapejasmineY的博客
07-04 3178
一、修改虚拟机IP 1、路由器 通信只能在具有相同网络号的IP地址之间进行,要与其它IP子网的主机进行通信,则必须经过同一网络上的某个路由器或网关(gateway)出去。 当 IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时,它将直接把IP分组送到网络上,对方就能收到。而要送给不同IP于网上的主机时,它要选 择一个能到达目的子网上的路由器,把IP分组送给该路由器,由路由器负责把IP分组...
Linux下网卡的链路聚合
CapejasmineY的博客
08-03 1344
一、bond网络接口 【1】添加两块网卡 (最多支持两块slave) eth0 eth1 【2】 nmcli connection add con-name bond0 ifname bond0 type bond mode active-backup ip4 172.25.254.119/24 con-name 链接名称 ifname 设备名称 type 类型 ipv4 地址 mode...
DNS域名解析及配置dhcp
CapejasmineY的博客
07-22 1252
一、ipp addr show查看到的内容 wlp3s0 外网网卡wifi br0 连接虚拟机网卡 二、让单网卡虚拟机连网 将真机设置成路由模式,让真机连网,则真机br0中IP为主机与虚拟机之间的接口网关,wlp3s0为主机与网络接口的网关。 设置虚拟机网关为真机br0IP 设置主机网关为wifiIP 使用主机ping www.baidu.com 查看百度IP,在虚拟机中ping (百度)IP 配...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值