SElinux设置

最新推荐文章于 2025-01-22 17:53:25 发布
最新推荐文章于 2025-01-22 17:53:25 发布
阅读量888 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dodobibibi/article/details/83716448
SElinux是一种内核级加强型防火墙,通过限制服务进程的资源访问来提升系统安全性。其有enforcing、permissive和disable三种模式。在enforcing模式下,所有操作会进行权限检查;permissive模式则只记录警告不阻止。安全上下文包括四个字段,决定了进程能否访问文件。可以通过临时或永久方式修改文件和目录的安全上下文以解决权限问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SElinux:

SElinux是内核级加强型防火墙,更改配置文件后必须重启。
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。

SElinux三种模式:

  • enforcing——Linux下SElinux所设置的安全策略都会被启用.所有与SElinux安全策略有关的服务或者程序都会被策略阻止.也就是,所有操作都会进行权限检查。(enforing下ftp不能进行写操作)
  • permissive——Linux下SElinux所设置的安全策略都会被启动,但是所有与SElinux安全策略有关的服务或者程序不会被策略阻止,但是会收到警告.也就是,所有操作都被允许(即没有MAC),但是如果有违反权限的话,会记录日志
  • disable——关闭 SElinux,相当于系统没有安装 SElinux一样

将SElinux设置为enforing后,将其他文件移入/var/ftp中,此时匿名用户登陆后看不到此文件:

server中:
touch /westos
mv /westos /var/ftp
desktop中;
lftp 172.25.254.128   #看不到westos

安全上下文——SELinux 的核心:

安全上下文有四个字段,分别用冒号隔开。
例:

system_u:object_r:public_content_t:s0
   用户:   角色:      类型:       级别

查看/var/ftp中的文件安全上下文

ls -Z /var/ftp

在这里插入图片描述

文件安全上下文由文件创建的位置和创建文件的进程所决定。而且系统有一套默认值,用户也可以对默认值进行设定。

ps auxZ | grep vsftpd #查看进程安全上下文

在这里插入图片描述

只有当文件安全上下文与进程安全上下文相互对应,进程才可以使用文件。

临时更改SElinux模式:

        getenforce   #查看当前SElinux模式
   ---->enforcing
        setenforce 0 #更改SElinux模式为pemissive
        getenforce
   ---->permissive
        setenforce 1 #更改SElinux模式为enforcing
        getenforce
   ---->enforcing

在这里插入图片描述

查看警告信息:

#此时SElinux是permissive模式
cat /var/log/audit/audit.log

在这里插入图片描述

修改文件安全上下文(临时的):

chcon -t public_content_t /avr/ftp/westos1

在这里插入图片描述

修改目录安全上下文(临时的):

mkdir /westos
touch /westos/westosfile{1..5}
ls -Zd /westos

vim /etc/vsftpd/vsftpd.conf
####
anon_root=/westos
####
lftp 172.25.254.128 不能访问
setenforce 0

chcon -t public_content_t /westos -R
ls -Zd /westos

把SElinux重启一次,安全上下文又变回default_t

修改安全上下文:

semanage fcontext -l | grep /var/ftp

在这里插入图片描述

semanage fcontext -l | grep /westos    
semanage fcontext -a -t public_content_t /westos  #创建
semanage fcontext -d -t public_content_t /westos  #删除
semanage fcontext -l | grep /westos #只改变了westos目录的安全上下文
restorecon -RvvF /westos            #R递归、vv显示过程、F刷新——刷新目录

rm -fr /westos
mkdir /westos
touch /westos/file{1..5}

semanage fcontext -a -t public_content_t '/westos(/.*)?'
restorecon -RvvF /westos

控制链接后各自的家目录:

getsebool -a | grep ftp      #对家目录的控制和链接
ftp_home_dir --> off
setsebool -P ftp_home_dir on #本地用户可以写,可以删除

在这里插入图片描述
在这里插入图片描述

SElinux排错——permissive(由一个插件提供的)

rpm -qa | grep setroubleshoot

在这里插入图片描述

[SDM660 Android9.0]selinux权限
但行前路 无问西东
05-20 621
1.apk控制gpio init.qcom.rc里给该io 666权限 也不能操控 操控报错 应用层 5244 5244 W ing.aliveDetect: type=1400 audit(0.0:183): avc: denied { write } for name="value" dev="sysfs" ino=50119 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:sysfs:s0 tclass=file perm
android:在AndroidO下将selinux设置permissive
maze的专栏
09-10 9104
ps:运行时的操作就是命令行下的,最简单,重启失效 $getenforce $setenforce 0 '修改测略': log:01-01 00:00:20.828 3665 3665 W sh : type=1400 audit(0.0:12): avc: denied { write } for name="core_pattern" ...
1-检验和设置selinux
拙能胜巧
05-23 374
1.设置selinux的状态为enforcing,即开启状态,而非调试或关闭状态,然后对selinux的状态进行检测并确认。但是,此处只是让selinux临时生效。2.检查selinux的配置文件,只有配置文件中设置为enforcing,才是载入开机启动项,即保证开机自动启动selinux。...
SELinux permissive模式 设置
子燕若水的博客
10-25 7122
0、getenforce ##也可以用这个命令检查 关闭SELinux: 1、临时关闭(不用重启机器): setenforce 0 ##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 参考链接https://blog.youkuaiyun.com/tangsilian/article/details/80144112 ...
Selinux配置
云梦归遥【qq_45834685】
11-03 2223
Selinux配置 selinux对于Linux系统可谓是十分重要。它的主要作用是对非超级用户和普通用户进行控制,而是对系统用户进行控制,尤其是一些服务,安装之后会默认创建一些系统用户,为了避免外部人员通过服务访问Linux系统的时候进入系统,访问到其他内容,以及限制服务的作用范围。 但是也可以对端口等作出操作,比如说修改一些著名的服务,比如说httpd的默认访问端口80为10000,避免外部恶意用户进行恶意访问等。 selinux状态: enforcing: 使用selinux强制保护系统 perm
linux恢复文件默认属性,文件的SELinux属性
weixin_36060465的博客
05-16 776
文件的SELinux属性1.临时修改文件的类型属性文件的类型属性不正确是常见的SELinux拒绝访问的主要原因1)修改文件的SELinux属性:[root@localhost ~]# touch test.file ##新建文件[root@localhost ~]# ls -Z test.file ##查看文件的SELinux属性-rw-r--r--. root root unconfin...
rocky 9.4 把selinux设置成disabled
最新发布
06-12
### 在 Rocky Linux 9.4 中将 SELinux 设置为 disabled 的方法 在 Rocky Linux 9.4 中,SELinux 是一个关键的安全子系统,默认情况下通常设置为 enforcing 模式。如果需要将其设置为 disabled 模式,可以通过修改...
linux selinux设置灵敏度s0到灵敏度s3
td_andy的专栏
01-22 407
etc/passwd 文件是用于存储用户账户信息的文件,而不是一个可以直接设置安全级别(如 SELinux 策略级别)的对象。如果你提到的“级别到 s3”是指 SELinux(Security-Enhanced Linux)的上下文级别,那么你需要通过 SELinux 的工具和策略来管理文件的安全上下文。/etc/passwd 是系统关键文件,修改其 SELinux 上下文可能会影响系统安全策略的正常运行。如果你的“s3”指的是其他类型的级别或上下文,请提供更多上下文信息,以便我能提供更准确的帮助。
APK文件的SELinux设置怎么修改
09-12
APK(Android Package)文件的SELinux权限设置通常是在打包应用程序时由开发者决定的,但在...但是,需要注意的是,随意修改系统级别的SELinux设置可能会导致系统不稳定,因此一般推荐由专业人士或了解风险的用户进行。
Linux上使用SELinux保护网络服务
沃和莱特的博客
11-16 1604
Linux上使用SELinux保护网络服务相关演示
Linux中selinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在selinux运作时,会有警告讯息,但不会限制domain/type的存取。 disabled: 关闭模式。 可用getenforce查看selinux状态 selinux对文件的作用: 当开启selinux后,selinux会给每个文件加载标签context,安全上下文必须配对,否则文件不能访问 测
SeLinux设置为enforing,系统不能启动
gbtux2008的专栏
02-04 2188
      今天在测试审计工具Linux Audit的时候,无意中将SELinux设置为enforing状态,然后重启系统后进不了,报错kernel panic。使用光盘进入linux rescue模式,但是不能修改/etc/selinux/conf和/mnt/sysimage/etc/selinux/conf中的参数,因为是只读模式。在网上查了一些资料,发现在系统的启动选项里可以给SELinux
vsftp selinux设置
weixin_34402408的博客
04-03 258
出现这个错误解决方法 setsebool ftpd_disable_trans onCould not change active booleans: Invalid booleansetsebool -P ftp_home_dir=1修改selinuxselinux支持上传)这个也是很多教程没有的一步 使用getsebool -a | grep ftp 命令可以找到ft...
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7272
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
Ubuntu的SELinux
qq_33373173的博客
07-16 1535
Ubuntu的SELinux
ubuntu下安装selinux
Innovat1on的博客
08-13 3292
ubuntu下selinux
Ubuntu 上使能 SELinux
weixin_46645613的博客
11-29 4487
此文档说明如何在 ubuntu 上启用 SELinux,测试环境为虚拟机,开始前一定一定一定先来个快照,不要问我为什么有三个一定。
android recovery设置selinuxpermissive
csdn66_2016的博客
03-13 3301
我们在调试开发阶段,经常需要把selinux关闭,则我们修通过设置uboot env来设置为允许状态:setenvEnableSelinux permissive;save 我们如果需要一直设置permissive模式,不需要通过uboot env去控制,可以这样修改(android 9.0上面验证): system/core/init下面打patch: diff --...
selinux设置和影响
一只胖橘猫的博客
11-07 1354
本章的内容围绕selinux来讲,前面也提到过做lftp试验时要注意selinux的状态,今天将会仔细讲解: selinux:内核级加强型防火墙 当处于enforcing时,selinux会给每一个文件加载一个标签,即context安全上下文。当文件允许被访问:程序的上下文和文件的上下文一致。 使用getenforce查看状态 setenforce 1 ##enforcing ...
怎么关闭selinux设置
09-27
1. **登录作为root用户**:由于修改安全设置需要管理员权限,首先以root身份登录。 2. **临时禁用SELinux**:可以编辑 `/etc/sysconfig/selinux` 文件,将 `SELINUX=enforcing` 更改为 `SELINUX=disabled` 或者 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值