基于linux下的selinux对用户权限的影响

最新推荐文章于 2025-06-16 15:18:31 发布
原创 最新推荐文章于 2025-06-16 15:18:31 发布 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #selinux #安全上下文 #sebool

SELinux通过安全上下文控制程序文件访问,并使用sebool值影响服务功能。安全上下文匹配允许访问,反之则禁止。文件重命名保持属性不变,复制则改变。sebool调整服务程序行为,例如限制匿名用户家目录访问。排错与自定义服务端口设置是管理关键。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

selinux:影响程序的访问文件,影响程序的服务程序功能,影响服务所使用的资源。
selinux影响程序的访问文件是通过安全上下文来控制的,影响服务程序的功能是通过sebool值来控制的。selinux开启后会关闭系统认为所有不安全的功能,组织所有认为不不安全的操作
1. 安全上下文:
当安全上下文匹配时访问允许,若不匹配时则不被允许;特定的文件被特定的程序访问(例如:ftpd_t 只能访问public_content_t的文件)
移动:不改变文件的属性和权限,重命名的过程;复制:改变文件的属性,新建的过程

   touch /mnt/westos  创建文件
   mv /mnt/westos /var/ftp  移动到/var/ftp
   ls -Z   查看上下文
   semanage fcontext -l | grep /var/ftp  查看安全上下文
   chcon -t public_content_t westos2  更改安全上下文的类型

这里写图片描述
2.更改匿名用户家目录后的安全上下文的永久更改:

   mkdir /westos
   touch /westos/westosfile
   vim /etc/vsftpd/vsftpd.conf
      anon_root=/westos
   systemctl restart vsftpd
   lftp 172.25.254.107  不能查看家目录文件

这里写图片描述

   setenforce 0 将selinux设置为警告
   lftp 172.25.254.107  可以查看,但有警告

这里写图片描述

 chcon -t public_content_t /westos -R  更改安全上下文类型(临时的,selinux重启后恢复初始)
 ls -Z /westos/

这里写图片描述
重启selinux

 vim /etc/sysconfig/selinux 
      disabled
   reboot
   vim /etc/sysconfig/selinux
      encoforcing
   reboot
   systemctl stop firewalld 关闭火墙
   systemctl disable firewalld 
   systemctl start vsftpd 开启vsftpd
   systemctl enable vsftpd
   ls -Z /westos

这里写图片描述

  semanage fcontext -a -t public_context_t /westos(/.*)?永久更改安全上下文类型‘westos(/.*)?==/westos/*/*……目录及所有文件
   semange fcontext -l | grep /westos  查看
   restorecon -FvvR /westos 刷新
   lftp 172.25.254.107  验证  可以查看

这里写图片描述
这里写图片描述服务的
3.sebool值对服务程序功能的影响:

   setsebool -P ftp_home_dir on  打开服务开关(-P 永久,为了使系统更安全)
   lftp 172.25.254.107 -u student
     put /etc/passwd  上传失败
   setsebool -a | grep ftp
   setsebool -P ftp_home_dir on
   lftp 172.25.254.107 -u student 上传成功

这里写图片描述
4.selinux排错:
实验之前将匿名用户的家目录改为默认位置/var/ftp

     touch /mnt/westos
      mv /mnt/westos /var/ftp
      > /var/log/messages
      > /var/log/audit/audit.log 
      浏览器:ftp://172.25.254.107

这里写图片描述
这里写图片描述

 cat /var/log/audit/audit.log

这里写图片描述

 cat /var/log/messages

这里写图片描述

    restorecon -v /var/ftp/*
    刷新浏览器

这里写图片描述

      yum remove setroubleshoot-server
      cat /var/log/messages 没有分析日志的结果
      setroubleshoot-server 是分析日志返回解决方案到/var/log/messages中。

这里写图片描述
5.自定义设置服务端口(selinux影响服务的使用资源):

     vim /etc/httpd/conf/httpd.conf
           42 Listen 6666   设置默认端口为6666

这里写图片描述

      systemctl restart httpd
      setenforce 0
      systemctl restart httpd

这里写图片描述

     semanage port -l | grep http查看http服务的端口
      semanage port -a -t http_port_t -p tcp 6666  将端口6666加入http端口列表中
      semanage port -l | grep http
      setenforce 1
      systemctl restart httpd(若不能重启,则证明selinux出错,解决:执行touch /.autorelabel;reboot)

这里写图片描述

LinuxSELINUX状态的巨大影响
qq_39376481的博客
02-12 2702
1.基本SELINUX安全性概念 SELINUX安全性增强型linux,内核型的加强性防火墙)是可保护系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权,SELINUX的另一个不同之处在于若要访问文件,必须具有普通访问权限SELINUX访问权限。因此,即使以超...
liunx下SELINUX强制模式带来的影响(提供解决方案)
试试看吧。
05-08 2791
一.SELINUX概念 SELINUX安全性增强型linux,内核型的加强性防火墙)是可保护系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件具有哪些访问权,SELINUX的另一个不同之处在于若要访问文件,必须具有普通访问权限SELINUX访问权限。因此,即使以超级用户身份...
SELinux权限发生变化的解释
weixin_33727510的博客
04-12 114
我在上一篇的文章《解决SELinux对网站目录权限控制的不当的问题》中遇到SELinux权限错乱的问题,从而导致网站无法正常操作。今天再次经过仔细研究后终于找出了问题的所在,现在张贴如下。 1.先是查看/root目录下的文件的SELinux权限分配情况。 2.再查看/var/www/html目录下的SELinux权限分配情况 通过这两张图就容易解释了为什么无法在浏览器中无法对网站目录...
Linux系统中selinux详解
最新发布
xujiangyan_的博客
06-16 1049
例:找对象时,男人看作主体,女人就是目标,男人是否可以追到女人(主体是否可以访问目标),主要看两人的性格是否合适(主体和目标的安全上下文是否匹配),但两个人的性格是否合适,是需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断的((dhcpd,httpd,named,nscd,ntpd,portmap,snmpd,squid,以及 syslogd),对本机系统的限制极少。(Mandatory Access Control),可以针对特定的进程与特定的文件资源来进行权限的控制,
se linux影响性能,性能 | SELinux+
weixin_32818365的博客
05-13 973
2、软件优化1 调度:IO调度器主要用于具有有限队列的较慢存储设备(例如,单机械硬盘驱动器)I/O调度器的主要作用是重新排序I/O的请求,以获得更早服务,更重要的请求。对于具有非常大的内部队列和非常快的服务(如pcie ssd)设备,I/O调度器不会有什么好处。最好是立即提交所有的请求。# cat /sys/block/sda/queue/schedulernoop [deadline] cfq#...
selinux的设置和影响
一只胖橘猫的博客
11-07 1355
本章的内容围绕selinux来讲,前面也提到过做lftp试验时要注意selinux的状态,今天将会仔细讲解: selinux:内核级加强型防火墙 当处于enforcing时,selinux会给每一个文件加载一个标签,即context安全上下文。当文件允许被访问:程序的上下文和文件的上下文一致。 使用getenforce查看状态 setenforce 1 ##enforcing ...
Linux Selinux详解
广阔天地,大有作为
09-10 1997
Linux SELinux是一种安全增强的Linux,它可以让用户和管理员对访问控制有更多的控制。它是一种标签机制,可以对文件和其他对象提供高级别的安全保护,防止未授权的进程或者没有必要访问的授权进程进行滥用。SELinux最初是由美国国家安全局(NSA)开发的,作为一系列使用Linux安全模块(LSM)的Linux内核补丁。SELinux于2000年发布给开源社区,并于2003年集成到上游Linux内核中。SELinux的工作原理是,它为系统上的应用程序、进程和文件定义了访问控制。
Linux系统之SELinux详解
weixin_56303229的博客
03-03 2503
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程和用户只能执行那些被明确允许的操作。
Linux上使用SELinux保护网络服务
沃和莱特的博客
11-16 1608
Linux上使用SELinux保护网络服务相关演示
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
在理解了这些基础概念后,我们可以深入研究压缩包中的文件,如"APK启动bin相关selinux权限,基于mtk android 6.0平台"。这个文件很可能是包含了具体的Selinux策略文件、日志分析或调试步骤的文档,或者是对如何解决...
selinux权限说明
12-30
关于android5.1权限管理说明文档
android开发中selinux影响
高飞的专栏
06-10 2921
OS:Android 6.0 在设备上访问一个SharedPreference,文件路径没有问题,对应的文件也存在,访问权限也设置成了777,但是每次用getSharedPreferences访问文件时,总是会报错:W/SharedPreferencesImpl: getSharedPreferences
selinux权限
weixin_43899302的博客
08-19 2022
selinux
SELinux 权限
fmc088的博客
04-19 774
权限修改方法1: adb在线修改seLinux Enforcing(表示已打开),Permissive(表示已关闭)-放宽意思 getenforce; //获取当前seLinux状态 setenforce 1; //打开seLinux setenforce 0; //关闭seLinux这样操作的话,重新启动恢复之前的状态。方法2: 从kernel中...
23.Linux内核中SELinux简析(简介、安全上下文SELinux的布尔值、SELinux报错解决)
愿你走出半生,归来仍是少年!
02-19 1937
1.SELinux简介 1)SELinux 全称 Security Enhanced Linux (安全强化 Linux),是美国国家安全局2000年以 GNU GPL 发布,是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统 的用途在于增强系统抵御 0-Day 攻击(利用...
Linux中内核级加强型火墙管理中的一些常见问题
小螺号的博客
12-02 190
文章目录前言一、Selinux开启后所产生的影响二、Selinux的状态及管理三、Selinux安全上下文四、SEBOOL开关和SEPORT五、setrouble 前言 内核级加强型火墙主要是指系统中的selinux功能,该功能开启时,会对系统中的文件和程序产生影响用户的一些操作会被限制。 一、Selinux开启后所产生的影响 对于文件的影响: 当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载 标签内记录程序和文件的安全上下文(context) 对于程序功能的影响: 当selin
SELinux权限问题解决
wan2g的博客
06-01 1135
android SELinux权限问题
linux权限管理(详解)
m0_72125469的博客
06-11 2533
2在带有粘滞位的目录中的文件只能被文件所属用户和root用户删除(如果一个目录对其他用户是可写的我们就可以设置粘滞位 普通用户就不能删除别人创建的文件)权限作用:linux为确保系统和用户安全所采取的安全措施,普通用户只能不受限制的操作家目录下的所有文件 对系统中其他 目录/文件的访问受到限制。使用字符方法设置目录/文件的强制位与粘滞位 和上面 权限设置的字符方法相似 就是把 rwx 换成了 s或者t。1在设置了SGID权限的目录中创建的文件会与该目录的所属组一致。
SELinux:强化Linux权限控制的详解与应用
相比之下,MAC更为强大,它可以根据预设的规则,对文件、目录、网络连接等特定对象进行精确的权限控制,即使一个进程通过了DAC的限制,也需要进一步满足MAC规则才能执行操作。 SELinux的运作原理通过示意图直观展示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值