liunx下SELINUX强制模式带来的影响(提供解决方案)

最新推荐文章于 2025-05-26 18:22:23 发布
原创 最新推荐文章于 2025-05-26 18:22:23 发布 · 2.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

SELINUX是一种增强型的Linux安全机制,它通过安全上下文控制文件、进程和服务的访问。在强制模式下,即使以root身份运行的进程也可能因缺少相应的SELINUX权限而被拒绝访问。文章探讨了如何查看和切换SELINUX状态,以及强制模式对服务、进程和文件的影响。通过修改安全上下文和sebool值,可以解决因SELINUX导致的访问限制。在遇到无法访问的问题时,SELINUX会在日志中提供解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.SELINUX概念

SELINUX(安全性增强型linux,内核型的加强性防火墙)是可保护系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权,SELINUX的另一个不同之处在于若要访问文件,必须具有普通访问权限和SELINUX访问权限。因此,即使以超级用户身份root运行进程,根据进程以及文件或资源的SELINUX安全性上下文也可能拒绝访问文件或资源标签

二.selinux的模式

Disabled不警告不拒绝/关闭状态
Enforcing强制模式,如果不符合会拒绝访问
Permissive警告模式,不符合会警告但是可以访问

三.管理selinux状态

<1>查看

getenforce 		##查看selinux的状态

在这里插入图片描述
<2>切换selinux状态

vim /etc/sysconfig/selinux     selinux配置文件
SELINUX=enforcing	           ##selinux开启,级别为强制
SELINUX=permissive          	##selinux开启,级别为警告
SELINUX=disabled	           ##selinux关闭,
setenforce 0|1		             ##更改selinux当前的级别0标示警告1标示强制

注意:当selinux从关到开,或者从开到关,需要重启系统

实验如下:

从开到关状态

此时的selinux状态
在这里插入图片描述

编辑配置文件
在这里插入图片描述
将其改为disabled
在这里插入图片描述
重启
在这里插入图片描述
开机之后查看状态:
在这里插入图片描述
从关到开状态

在这里插入图片描述
将状态修改为enforcing
在这里插入图片描述
重启
在这里插入图片描述
开机后查看状态:
在这里插入图片描述
警告状态与强制状态之间的切换
在这里插入图片描述

总结:当selinux从关到开,或者从开到关,需要重启系统,而警告状态切换强制状态或者强制状态切换警告状态不需要重启(可以直接切换)。

四:selinux对服务,进程,文件的影响

1.针对文件,会对系统中每个文件添加安全上下文(context)
2.针对进程,会对系统中的每个进程添加安全上下文(context)
3.会在系统服务上设定sebool开关
4.当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
5.sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值

在这里插入图片描述

实验如下:
当selinux状态为disabled时候,lftp可以看见移动到默认访问目录下的文件westosfile
在这里插入图片描述
当selinux状态为enforcing时候,lftp可以看不见移动到默认访问目录下的文件hhh
在这里插入图片描述
这时候我们用ls -Z查看文件的标签,发现hhh文件的安全上下文不同

在这里插入图片描述

原来当selinux为enforcing时,它会给系统中的文件,进程,服务添加安全上下文,只有相对应的才能访问,不对应的无法访问。

五:修改安全上下文

<1>临时更改(更适用于文件)

chcon -t 安全上下文  文件/目录
比如:
chcon -t public_content_t  /var/ftp/hhh

实验如下:

临时更改文件安全上下文
在这里插入图片描述lftp去访问,可以访问到
在这里插入图片描述
注意:目录本身符合要求,里面的文件不符合,用这个更改文件的安全上下文,文件的安全上下文是永久的

临时目录文件安全上下文

实验如下:

vsftpd原本的默认访问目录的安全上下文如下图所示:
在这里插入图片描述
建立一个新的目录,查看其安全上下文并将其修改为vsftpd匿名用户的默认访问目录
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
用lftp查看

在这里插入图片描述

临时更改目录的安全上下文,并用lftp查看
在这里插入图片描述
重启selinux
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
再次重启selinux
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看目录安全安全上下文,发现恢复原本,证明这更改是临时的
在这里插入图片描述

<2>永久更改文件安全上下文

有些服务,目录,进程的安全上下文之所以是永久的,是因为它的安全上下文被系统记录着

semanage fcontext -l      查看
semanage fcontext -a -t public_content_t '/ftpdir(/.*)?'   更改系统记录的安全上下文
restorecon -RvvF /ftpdir/                                  使目录本身的安全上下文也更改

实验如下:
在这里插入图片描述

在这里插入图片描述

用lftp查看,可以查看到:
在这里插入图片描述
六:修改selbool值

sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值

实验如下:

用student上传文件,发现失败

在这里插入图片描述
查看服务功能
在这里插入图片描述
将其服务功能打开
在这里插入图片描述
再次查看
在这里插入图片描述
再次去上传,发现成功

在这里插入图片描述

匿名用户上传,发现失败
在这里插入图片描述
在这里插入图片描述

打开服务功能
在这里插入图片描述
再次查看
在这里插入图片描述
再去使默认家目录子目录可写
在这里插入图片描述
发现可以上传在这里插入图片描述

七:selinux提供解决方案

前提:

我们将一个/mnt下的文件移动到/var/ftp下,lftp查看不到,在日志里会提供一个解决方案,这个方案是怎么来的?这是我们要探究的问题

移动:
在这里插入图片描述
为了保证实验环境纯净,将日志清空
在这里插入图片描述
发现查看不到
在这里插入图片描述查看日志
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

那么这个解决方案是从那里来的?我们需要解决这个问题

实验如下:

发现selinux提供了一个解决问题的软件包
在这里插入图片描述
在这里插入图片描述
此时我们的系统已经安装这个软件包,我们将其移除掉
在这里插入图片描述
移除成功
在这里插入图片描述
再去清空日志
在这里插入图片描述
lftp查看
在这里插入图片描述
查看日志,发现没有提供解决方案
在这里插入图片描述
我们再去将这个软件包安装回来

在这里插入图片描述
安装完成
在这里插入图片描述
清空日志
在这里插入图片描述
lftp查看
在这里插入图片描述
查看日志
在这里插入图片描述
发现提供解决方案
在这里插入图片描述
我们按照这个解决方案处理
在这里插入图片描述
发现可以查看到kkk文件
在这里插入图片描述

Linux安全策略selinux详解
悦分享
08-07 1434
系统资源都是通过进程来读取更改的,为了保证系统资源的安全,传统的Linux使用用户、文件权限的概念来限制资源的访问,通过对比进程的发起用户和文件权限以此来保证系统资源的安全,这是一种自由访问控制方式(DAC);但是随着系统资源安全性要求提高,出现了在Linux下的一种安全强化机制(SELinux),该机制为进程和文件加入了除权限之外更多的限制来增强访问条件,这种方式为强制访问控制(MAC)。
liunx版本的
最新发布
m0_45209551的博客
06-11 769
services:ports:volumes:network_mode: "host" # 添加此行(必须)kibana:ports:ELASTICSEARCH_HOSTS: http://192.168.1.145:9200 # 具体ip(必须)network_mode: "host" # # 添加此行(必须)
Linux中SELINUX状态的巨大影响
qq_39376481的博客
02-12 2703
1.基本SELINUX安全性概念 SELINUX(安全性增强型linux,内核型的加强性防火墙)是可保护系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权,SELINUX的另一个不同之处在于若要访问文件,必须具有普通访问权限和SELINUX访问权限。因此,即使以超...
讨论SELinux对系统安全的影响
weixin_34205076的博客
01-05 274
对于刚使用Redhat Enterprise Linux 4以上或Fedora Core 2以上/CentOS 4的用户,一定会为Apache经常无法正常运转,报以"Permission denied"等错误而大为不解,甚至大为恼火,其实这是因为这些系统里激活了SELinux,而用户的apache配置与SELinux的配置策略有抵触产生的。那么SELinux到...
LockSELinuxforcedmode资源下载介绍:锁定SELinux强制模式,提升系统安全性
gitblog_06772的博客
05-26 668
LockSELinuxforcedmode资源下载介绍:锁定SELinux强制模式,提升系统安全性 【下载地址】LockSELinuxforcedmode资源下载介绍 本项目提供了一套工具和配置文件,帮助用户轻松锁定SELinux强制模式,从而提升系统安全性。通过下载并使用这些资源,您可以按照清晰的步骤进行操作,确保SE...
se linux影响性能,性能 | SELinux+
weixin_32818365的博客
05-13 976
2、软件优化1 调度:IO调度器主要用于具有有限队列的较慢存储设备(例如,单机械硬盘驱动器)I/O调度器的主要作用是重新排序I/O的请求,以获得更早服务,更重要的请求。对于具有非常大的内部队列和非常快的服务(如pcie ssd)设备,I/O调度器不会有什么好处。最好是立即提交所有的请求。# cat /sys/block/sda/queue/schedulernoop [deadline] cfq#...
selinux的设置和影响
一只胖橘猫的博客
11-07 1361
本章的内容围绕selinux来讲,前面也提到过做lftp试验时要注意selinux状态,今天将会仔细讲解: selinux:内核级加强型防火墙 当处于enforcing时,selinux会给每一个文件加载一个标签,即context安全上下文。当文件允许被访问:程序的上下文和文件的上下文一致。 使用getenforce查看状态 setenforce 1 ##enforcing ...
SElinux对一些服务关系的影响
weixin_34380781的博客
09-06 152
kerberos 允许系统使用kerberos setsebool -P allow_kerberos 1 setsebool -P krb5kdc_disable_trans 1service krb5kdc restartsetsebool -P kadmind_disable_trans 1service kadmind restart ftp共享给匿名用户的话,需要开...
Linux系统入门之selinux
vanvan_的博客
05-07 603
基本SELINUX安全性概念 (1)SELinux概念 SELINUX(安全增强型Linux)是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。 在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权 SELINUX的另一个不同之处在于,若要访问文件,你必须具有普通访问权限和SELINUX访问权限。因...
Linux FTP服务器配置与SELinux状态调整
如果决定直接关闭SELinux以避免影响FTP服务,可以使用`setenforce 0`命令,但这只是一种临时解决方案,因为重启后SELinux会恢复到之前的状态。若要永久关闭SELinux,需编辑`/etc/selinux/config`文件,将`SELINUX`...
liunx 执行命令 Permission denied
04-03
### 解决 Linux 中 Permission Denied 的常见原因及解决方案 #### 1. 文件或目录权限不足 当尝试运行某个脚本或访问特定文件夹时,如果遇到 `Permission denied` 错误,通常是因为当前用户对该文件或目录缺乏足够的...
Lock SELinux forced mode.zip
07-20
Lock SELinux forced mode.zip
基于linux下的selinux对用户权限的影响
dandan
05-16 2036
selinux影响程序的访问文件,影响程序的服务程序功能,影响服务所使用的资源。 selinux影响程序的访问文件是通过安全上下文来控制的,影响服务程序的功能是通过sebool值来控制的。selinux开启后会关闭系统认为所有不安全的功能,组织所有认为不不安全的操作 1. 安全上下文: 当安全上下文匹配时访问允许,若不匹配时则不被允许;特定的文件被特定的程序访问(例...
selinux
windowsworld的博客
05-06 767
selinux级别的不同对服务的影响 selinux是内核上的一个插件 vim /etc/sysconfig/selinux 配置文件 SELINUX=XXXX(disabled,enforcing) 作用: 1.给文件加上一个标签,不符合标签的文件无法访问 2.给功能加上一个开关 未修改selinux强制前(disabled),可以上传文件,新建的文件也可以看到 修改selinix为强制...
selinux的简单了解
qq_40628106的博客
10-30 379
一、selinux对linux系统文件的影响 ###  1.对文件的影响 #我们这里以selinux对ftp服务的影响来说明问题 第一步:我们检查ftp服务的运行状态: 防火墙也开启了ftp服务: selinux功能也是开启的: 第二步:我们在/mnt目录下建立一个 file_test文件,然后将其移动到ftp服务匿名用户登陆的目录下: 第三步:现在用匿名用户登陆去查...
Linux中内核级加强型火墙管理中的一些常见问题
小螺号的博客
12-02 191
文章目录前言一、Selinux开启后所产生的影响二、Selinux状态及管理三、Selinux的安全上下文四、SEBOOL开关和SEPORT五、setrouble 前言 内核级加强型火墙主要是指系统中的selinux功能,该功能开启时,会对系统中的文件和程序产生影响,用户的一些操作会被限制。 一、Selinux开启后所产生的影响 对于文件的影响: 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载 标签内记录程序和文件的安全上下文(context) 对于程序功能的影响: 当selin
SELinux强制状态开关策略(getsebool)
潘飞龙的博客日记
02-18 495
查看SELinux开关策略 [root@desktop0 ~]# getsebool -a abrt_anon_write --&gt; off abrt_handle_event --&gt; off abrt_upload_watch_anon_write --&gt; on antivirus_can_scan_system --&gt; off antivirus_use_jit -...
23.Linux内核中SELinux简析(简介、安全上下文、SELinux的布尔值、SELinux报错解决)
愿你走出半生,归来仍是少年!
02-19 1941
1.SELinux简介 1)SELinux 全称 Security Enhanced Linux (安全强化 Linux),是美国国家安全局2000年以 GNU GPL 发布,是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)强制访问控制系统 的用途在于增强系统抵御 0-Day 攻击(利用...
Selinux模式
littleyards的博客
03-26 1898
androidboot.selinux 的值是否需要开启selinux(可以直接改is_enforcing 的值或者改/proc/cmdline 文件,当然/proc/cmdline 文件每个平台有每个平台的做法)安卓系统启动过程中, init 进程会进行selinux 的初始化。通过读取/proc/cmdline 文件, 判断。1,临时修改,使用setenforce 命令。setenforce 1 //设置为Enforcing强制模式。2,在内核中直接关闭 Selinux。3,在init中关闭。
JNA 4.6.0版本兼容UOS20与深度Linux解决方案
标签“liunx系统下支持so库调用”强调了JNA的其中一个核心功能:在Linux系统上允许Java程序调用共享对象(.so文件)中的函数。这是JNA在Linux系统下与本地库交互的典型应用场景。共享对象在UNIX和Linux系统中相当于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值