linux的安全上下文

最新推荐文章于 2023-05-25 00:11:08 发布
原创 最新推荐文章于 2023-05-25 00:11:08 发布 · 2.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

什么是安全上下文?

安全上下是一个访问控制属性,是selinux中的重要组成部分,在进行移动时,不会改变文件的属性和权限,而复制的过程会改变文件的属性,而安全上下文是一个访问的凭证,特定的文件被特定的程序访问,安全上下文会关闭系统认为不安全的功能,当安全上下文相匹配时才允许访问。

安全上下文的作用

vim /etc/sysconfig/selinux

在这里插入图片描述
把selinux改为enforcing模式,重启系统,开启安全上下文的功能。
在这里插入图片描述
我们可以看到,开启安全上下文之后,使用lftp登陆时只能看到在目录里创建的文件,而看不到移动到目录的文件。那么,如何临时关闭这个功能呢?

chcon -t public_content_t /home/student/ -R
ls -Zd /home/student/

在这里插入图片描述
此时,重/mnt移动过来的文件也能看到了。
也可以永久关闭这个功能。

semanage fcontext -a -t public_content_t '/home/student(/.*)?'
semanage fcontext -l | grep student

在这里插入图片描述

restorecon -FvvR /home/student/			##刷新上下文关系

在这里插入图片描述
这样,就永久关闭安全上下文的功能,重启计算机之后也不会改变。
如何允许本地用户上传文件
开启selinux的强制功能之后,本地用户和匿名用户都是默认不能上传文件的,如果想要上传文件,必须打开相应开关。

getsebool -a | grep ftp			##查看开关是否打开
setsebool -P ftp_home_dir  on	##打开开关

在这里插入图片描述
查看开关是否打开
在这里插入图片描述
打开开关
之后就可以进行本地用户的文件的上传了。
在这里插入图片描述
当然如过上传失败可以查看/etc/vsftpd/vsftpd.conf文件是否有参数未修改,也可以查看/var/log/messages中的日志寻找解决方案。
如何允许匿名用户上传文件
同样,匿名用户也是默认不能上传文件的,需要打开相应开关。

setsebool -P ftpd_anon_write on							##打开开关
semanage fcontext -a -t public_content_rw_t /var/ftp/pub
restorecon -RvvF /var/ftp/pub/

在这里插入图片描述
在这里插入图片描述
上传成功!
selinux有两种模式,可以用getenforce进行查看
在这里插入图片描述
用setenforce临时更改。
在这里插入图片描述
其中Enforcing表示强制模式,Permissive表示警告模式。

何年江月
关注
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2356
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root root system_.
《网络安全自学教程》- Linux安全标识符、身份鉴别、访问控制
热门推荐
wangyuxiang946的博客
08-14 1万+
UID,UGO 管理机制
Selinux安全上下文详解
weixin_34257076的博客
11-22 1985
SELinux介绍DAC:自由访问控制MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将...
Linux中文件的安全上下文
因为觉得还太菜所以暂时不更新
11-04 1393
1、什么是安全上下文 (1)安全上下文是一个简单一致的访问控制属性 (2)特定的文件被特定的程序访问,是访问时的凭证 (3)会关闭系统认为不安全的所有功能 2、程序访问文件时匹配安全上下文 设置: 命令 功能 touch /mnt/abc 在mnt下建立一个新文件案abc mv /mnt/abc /var/ftp 将mnt下的abc移动到/var/ftp中,移动可以保持文件原有...
linux安全上下文
JAVA
07-20 536
在/root下创建文件authorized_keys,然后move到.ssh中,文件没有起作用   1,修改属性解决: 查看安全上下问信息   :ls -Z  /root/.ssh 设置: restorecon -R .ssh   2.1,关闭安全检查解决: var /etc/selinux/config SELINUX=disabled 重启     2.2 临时修改,不
linux进程安全上下文,Selinux安全上下文详解
weixin_28894087的博客
04-29 1206
SELinux介绍DAC:自由访问控制MAC: 强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将被拒绝Selinux策略对象(object):所有可以读取的对象,包括文件、目录和进程、端口等主体:进程称为主体(subject)Selinux中所有的文件...
Selinux 安全上下文与端口控制
lovely_nn的博客
05-25 1404
设置 selinux安全上下文、开放服务相关端口、以 httpd 服务为例
Selinux安全上下文
优快云YXJY的博客
08-12 1056
SELinux介绍 DAC:自由访问控制 MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制 策略被用来定义被限制的进程能够使用哪些资源(文件和端口) 默认情况下,没有被明确允许的行为将被拒绝 Selinux策略 对象(object)...
基于Linux下的安全上下文的设置及管理
柠檬精哒博客
05-17 3092
一、安全上下文 概念:访问的凭证,特定的文件被特定的程序访问,会关闭系统认为不安全的所有功能 影响程序访问文件(安全上下文控制) 影响服务程序功能(sebool值控制) 当安全上下文匹配时访问允许,若不匹配时则不被允许 移动:不改变文件的属性和权限,重命名的过程 复制:改变文件的属性,新建的过程 vim /etc/sysconfig/selinux touch /mnt/wes...
linux安全上下文概念
winwg的博客
11-02 915
转自:嵌入式ARM 谈论进程上下文 、中断上下文 、 原子上下文之前,有必要讨论下两个概念: a – 上下文 上下文是从英文context翻译过来,指的是一种环境。相对于进程而言,就是进程执行时的环境; 具体来说就是各个变量和数据,包括所有的寄存器变量、进程打开的文件、内存信息等。 b – 原子 原子(atom)本意是“不能被进一步分割的最小粒子”,而原子操作(atomic operation)意...
什么是安全上下文(Security Context)?
lixinms的专栏
01-07 1万+
安全上下文指的是一类定义某个进程允许做什么的许可和权限的集合。Windows中的安全上下文是通过登录会话(Logon Session)定义的,并通过访问令牌维护。顾名思义,登录会话表示某个用户在某台计算机上的某次会话过程。开发者可以通过访问令牌与登录会话进行交互。访问令牌所有用的许可和权限可以与登录会话的不同,但始终是它的一个子集。安全上下文的概念范围是很广的,权限、特权、访问令牌、完整性等级等等
Linux学习-93-SELinux安全上下文操作
时光
12-21 2065
Linux学习-93-SELinux安全上下文操作
Linuxselinux安全上下文
Ying_smile的博客
10-13 685
查看selinux安全上下文:ls -Z [root@localhost ~]# touch /var/ftp/hellohello 新建文件测试 [root@localhost ~]# ls /var/ftp/ 查看目录ftp中的内容 hellohello pub [root@localhost ~]# touch /mnt/haha1 [root@localhost ~]# mv /mnt/haha1 /var/ftp/haha1 #复制是新建的过程,移动是重命名的过程,文件系统权限和属性不会改
安全上下文
ly的博客
03-07 866
安全上下文 1.selinux的disable和enforcing,以及永久设定     mkdir /westos     touch /westos/file     vim /etc/vsftpd/vsftpd.conf         anon_root=/westos          lftp 172.25.254.119     ls之后无法查看到/westos
安全上下文(进程)
weixin_34258782的博客
05-08 295
为什么80%的码农都做不了架构师?>>> ...
SELinux安全上下文的认识
虫写的专栏
10-30 1万+
1、SELinux安全上下文 安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),"域"和"域类型"意思都一样,即都是安全上下文中的“TYPE”。 SELinux对系统中的许多命令做了修改,通过添加一个-Z选项显示客体和主体的安全上下文。     1) 系统根据PAM子系统中的p
linux 目录权限上下文,文件和目录的安全上下文
weixin_28813025的博客
04-29 374
文件和目录的安全上下文(涉及一些文件系统)当我们敲下命令发起一个进程去操作(读取,复制,修改,删除等)一个目录或文件时,进程会根据我们的身份(目录的属主,属组,其他),对照目录或文件的属主,属组和其他的权限去执行。只有我们拥有目录相应的权限,进程才能执行。进程在匹配时是有顺序的,当你是文件的属主,进程便不会去对照我们的属组身份。目录和文件的权限详讲:一、目录的权限详讲:当执行者对目录有读权限时:执...
RHCSA篇 安全上下文
undefineing的博客
04-27 281
我们都知道vim 是可执行程序,那vim执行后变为成什么呢? 没错,会进入内存成为进程。 而我们要用vim修改文件,可知有的文件的权限,会限制你修改,那么它怎么知道你的权限?你现在只是个进程啊? 这是因为进程上有你,或者说有你账号的标记,在你账号执行vim的一瞬间,该账号就成了vim进程的属主,而进程的权限均来源于属主。
kubernetes--安全上下文(Security Context)
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
linux安全上下文
最新发布
03-20
### Linux 安全上下文SELinux 访问控制机制 #### 什么是安全上下文? 在 Linux 中,特别是启用了 SELinux 的系统中,**安全上下文(Security Context)** 是指附加到进程、文件或其他资源上的元数据。这些元数据描述了对象的访问权限以及其所属的安全类别[^1]。 对于文件来说,可以通过 `ls -Z` 命令查看其安全上下文信息。例如: ```bash $ ls -Z /var/www/html/index.html unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/index.html ``` 上述输出表示 `/var/www/html/index.html` 文件具有以下安全上下文属性: - **User**: unconfined_u (用户身份) - **Role**: object_r (角色) - **Type**: httpd_sys_content_t (类型) - **Level/MCS**: s0 (多级安全级别) #### SELinux 访问控制机制详解 SELinux 实现了一种更严格的访问控制模型,称为强制访问控制(MAC),补充了传统的自主访问控制(DAC)。以下是 SELinux 主要的访问控制机制组成部分: ##### 1. 类型强制(Type Enforcement, TE) TE 是 SELinux 的核心部分之一,通过定义域(Domain)和类型的规则来约束主体(Subject)对客体(Object)的操作。只有当主体的域允许操作特定类型的客体时,访问才会被批准[^5]。 例如,在 Web 服务器环境中,HTTPD 进程通常运行在一个名为 `httpd_t` 的域下。为了确保 HTTPD 只能读取指定目录下的文件,管理员会设置相应的文件类型为 `httpd_sys_content_t` 或其他合适的类型[^3]。 ##### 2. 基于角色的访问控制(RBAC) 除了 TE 外,SELinux 还支持 RBAC 模型。在这种模式下,用户被分配给不同角色,而每个角色则关联一组可用的域集合。这使得管理员能够更好地分离职责并减少不必要的特权提升风险。 ##### 3. 多级安全(MLS) 虽然 MLS 不是所有部署场景都必需的功能,但它提供了一个额外维度——敏感度分级(Sensitivity Levels 和 Categories)。借助此功能,可以进一步细化哪些用户可以在何种条件下访问某些机密资料[^4]。 #### 如何管理 SELinux 上下文? 针对实际运维需求,Linux 提供了一系列实用工具帮助调整或修复错误配置好的文件标签。下面列举几个常用命令及其用途说明[^2]: - 使用 `chcon`: 手动修改单个文件或者目录的 context; ```bash chcon -t httpd_sys_content_t /website/example.com/ ``` - 利用 `semanage fcontext`: 创建持久化规则以便自动应用正确的 contexts 至匹配路径; ```bash semanage fcontext -a -t httpd_sys_content_t "/website(/.*)?" restorecon -Rv /website ``` 最后一步执行 `restorecon`, 它依据预设数据库重新设定目标位置的所有 entries 正确的 security contexts. --- ### 示例代码展示如何验证及修正文件的安全上下文 假设我们希望让 Apache 能够正常加载自定义站点根目录 `/website` 下的内容,则需按照如下方式处理: ```bash # 查看当前状态 ls -lZ /website/ # 添加新的fcontext记录 sudo semanage fcontext -a -t httpd_sys_content_t "/website(/.*)?" # 应用更改至现有结构 sudo restorecon -Rv /website ``` 完成以上步骤之后再次确认效果即可。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值