linux下selinux与安全上下文的配置

最新推荐文章于 2025-09-14 20:27:00 发布
原创 最新推荐文章于 2025-09-14 20:27:00 发布 · 898 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

本文介绍了SELinux安全上下文的基础概念及应用实践,通过FTP服务实验演示如何更改文件的安全上下文,解决SELinux限制问题,并展示了如何配置HTTP服务。

安全上下文

所有的操作系统访问控制都是基于与主体和客体相关的访问控制属性的。在SELinux中,访问控制属性杯称作安全上下文。所有的客体(文件,进程间通信,通信管道,套接字,网络主机等)和主体(进程)有一个和他们相关的单一安全上下文。一个安全上下文有三个元素:用户,角色和类型标识符。


本次使用ftp服务来实验

首先查看ftp的安全上下文

在ftp外的目录下创建新文件  (和ftp目录下的安全上下文不同)

如图  无法打开

那么更改selinux为警告   如图所时可以看到文件 说明selinux限制了ftp去查看安全上下文不同的file1文件

使用 chcon  -t  安全上下文   文件  命令来更改文件的安全上下文    如图 在setenfrce=1时也可以看到文件查


使用ls  -Zd 来查看制定目录的安全上下文


创建新目录westos1  在vsftpd配置文件中改为匿名用户登陆家目录  可以看到  不更改selinux为警告无法看到文件 



修改时 根据ftp的安全上下文  来修改westos1

如图  修改后  查看得知和ftp'的安全上下文一致  登陆可看到文件



selinux还限制了以用户上传文件  

使用getsebool  来查看ftp的配置 如图   

修改方式如下   修改后就可以使用开启的功能


在配置httpd服务时 可以在配置文件中修改端口 规定使用的端口   在42行


修改后   无法重启服务

设置 警告  可以开启  说明 selinux限制了我们对端口的修改

如图  看到htpp的端口信息   

semanage  port  -a  -t  http_port_t  -p tcp  6666   添加上去即可




linux中setroubleshoot的使用 

清空message与audit的信息

在mnt下创建文件   移动至/var/ftp/下

打开浏览器 无法看到




打开 message  找到解决方案


修改后

可以查看到文件



SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2561
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root root system_.
SELinux系列(七)——SELinux安全上下文的修改和设置(chcon和restorecon命令)
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2536
安全上下文的修改是我们必须掌握的,其实也并不难,主要是通过两个命令来实现的。 chcon 命令格式如下: [root@localhost ~]# chcon [选项] 文件或目录 选项: -R: 递归,当前目录和目录下的所有子文件同时设置; -t: 修改安全上下文的类型字段,最常用; -u: 修改安全上下文的身份字段; -r: 修改安全上下文的角色字段; 举个例子: 在我们的apache web服务器 建立一个网页文件,并写入“test page!.
一、SELinux安全上下文
CZZDg的博客
06-05 1054
(1).SELINUXS是Linux内核的强制访问控制安全子系统,提供更细粒度的权限控制,防止进程或用户越权操作。(2).核心思想最小权限原则:进程/用户只能访问其明确需要的资源。基于标签的访问控制:所有资源被赋予安全上下文。(3).工作模式模式描述Enforcing强制执行策略,拒绝非法操作并记录日志。Permissive仅记录违规操作,不阻止(用于调试)。Disabled完全关闭SELinux(需重启生效)。软件防火墙:集成在系统内部。
(18) selinux
qq_41869566的博客
04-25 494
一、内核级防火墙 selinux  1.三种级别   1 强制(E)   0 警告(P)    关闭(D)   2.安全标签:安全上下文   当selinux插件处于关闭状态,vsftp服务无安全标签      当selinux插件处于强制/警告状态,重启时给所有服务添加安全标签(例 ps auxZ | grep vsftpd)    二、selinux级别管理(注意:修改完配置文件要重起服务:s...
SELinux(Security-Enhanced Linux)的FTP配置设置
vitasa的博客
08-02 3720
SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控制的实现,是 Linux上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务 中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发
selinux的初级管理
siyuexiangxian的博客
08-09 472
编辑/etc/sysconfig/selinux配置文件,可以管理selinux的级别。selinux=disabled ##关闭状态 selinux=Enforcing ##强制状态(开启) selinux=Permissive ##警告状态(开启)getenforce命令可用于查看selinux的状态。
Linux系统selinux工作模式下安全上下文的设置以及端口的更改
letter_A的博客
05-16 4813
SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(SecureComputingCorporation)开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。SELinux是一种基于域-类型模型(domain...
安全利器SELinux快速入门系列 | 03】SELINUX配置Proftpd安全FTP服务器权限实操指南
机器未来的博客
08-08 3407
本文以proftpd为例描述了在Linux系统中为应用配置selinux权限的工作流。
Linux系统配置核查-【等保测评】网络安全等级保护测评 S3A3 计算环境操作系统(Linux
weixin_54591045的博客
01-23 3427
etc/group权限644,/etc/passwd权限为644,/etc/shadow权限为000,/etc/profile权限为644,/etc/crontab权限为644,/etc/ssh/sshd_config权限为400。敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数字,也可能是字母,总之,它表示主体和客体的安全级别。用于管理整个系统,可在 /etc/sudoer 中授予各式各样的权限,但无审计管理的权限,不可中断审计进程及修改审计配置等,且不可威胁到root用户。
SeLinux安全上下文文件
littleyards的博客
04-01 1509
在Android中,常见的安全上下文文件有file_contexts、genfs_contexts、service_contexts、mac_permissions.xml和seapp_contexts。seapp_contexts,app的安全上下文,用于描述apk 安装之后的目录文件和/data/data 目录分配标签。根系统中所有文件的安全上下文, 如/system/bin, /system/etc 等文件。系统binder服务的安全上下文,在启动过程中,servermanger会读取该配置
深入理解 SELinux:通过 Nginx 和 SSH 服务配置实践安全上下文端口策略
持续更新~
05-29 1753
本文通过三组实验演示 SELinux 在服务配置中的核心应用
SELinux 安全上下文(Security Context)详解
2301_81623418的博客
09-06 1251
SELinux 安全上下文详解:SELinux 通过安全上下文(user:role:type:level)实施强制访问控制,其中 type 类型是核心,决定进程能否访问资源。查看上下文可使用 ls -Z、ps -eZ 等命令,修改则通过 chcon(临时)或 semanage fcontext(永久)。常见问题如服务访问被拒,需检查文件权限和 SELinux 类型。Ansible 中可通过 setype 参数设置上下文。理解安全上下文机制对系统安全管理至关重要。
SELinux安全上下文
最新发布
weixin_56665846的博客
09-14 578
是什么?SELinux(Security-Enhanced Linux)是Linux内核的强制访问控制(MAC)安全子系统,提供更细粒度的权限控制,防止进程或用户越权操作。核心思想最小权限原则:进程/用户只能访问其明确需要的资源。基于标签的访问控制:所有资源(文件、端口、进程)被赋予安全上下文(Security Context)。工作模式模式描述Enforcing强制执行策略,拒绝非法操作并记录日志。Permissive仅记录违规操作,不阻止(用于调试)。Disabled。
Linux 从基础到进阶】SELinux AppArmor 安全模块配置
weixin_39372311的博客
08-07 1313
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的安全模块,通过强制访问控制策略来保护系统。它基于安全策略的定义,限制进程对系统资源的访问。AppArmor(Application Armor)是一个安全模块,通过定义应用程序的安全策略来限制其行为。它使用配置文件(profile)来描述进程对文件、网络和其他资源的访问权限。通过本文的介绍,您已经了解了 SELinux 和 AppArmor 的基本概念、安装和配置方法。
linux等保三级检查命令
UMSA
12-02 4821
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
等保测评(linux
m0_52527037的博客
04-04 7029
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;网络设备、防火墙配置访问控制策略;
SELinux配置和更改安全上下文
热门推荐
04-23 1万+
配置SELinux 我们已经在Selinux的由来和安全上下文中了解到SELinux的基本概念。 我们知道SELinux会对进程和文件进行权限控制,而让阻止某些进程访问不该访问的文件。 实际上,在真实场景中,虽然SELinux为默认的内核模块,然而实际上,我们还是可以控制其开启和执行。 首先,让我们查看默认的当前的SELinux配置: $ cat /etc/sysconfig/selinux...
LinuxSELinux-安全上下文
weixin_42741132的博客
09-09 7860
目录 SELinux介绍 五个安全元素 启用SELinux 管理文件安全标签 管理端口标签 管理SELinux布尔值开关 设置SELinux管理日志 查看SELinux帮助  *******温馨提示:小编认为文中的理论知识点也很重要,请热爱学习的你们也同样耐心阅读完******** SELinux介绍 SELinux:Secure Enhanced Linux,是美国国家...
基于Linux下的安全上下文的设置及管理
柠檬精哒博客
05-17 3115
一、安全上下文 概念:访问的凭证,特定的文件被特定的程序访问,会关闭系统认为不安全的所有功能 影响程序访问文件(安全上下文控制) 影响服务程序功能(sebool值控制) 当安全上下文匹配时访问允许,若不匹配时则不被允许 移动:不改变文件的属性和权限,重命名的过程 复制:改变文件的属性,新建的过程 vim /etc/sysconfig/selinux touch /mnt/wes...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值