Linux——selinux的简介与用法

最新推荐文章于 2024-05-17 00:53:04 发布
原创 最新推荐文章于 2024-05-17 00:53:04 发布 · 502 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Linux中selinux的简介与用法

本文深入解析SELinux的工作原理,包括安全上下文的访问规则,布尔值管理及错误排查工具的使用。通过实例展示如何修改文件安全上下文,以及如何启用特定服务的上传权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、selinux简介

  1. selinux: 内核级加强型防火墙
  2. 作用: 给每一个文件加载标签(context:安全上下文)
    对文件的影响:安全上下文
    对服务的影响:对服务的特定功能加开关(sebool)
  3. selinux的三种状态
    enforcing   强制模式
    permissive  警告模式
    disabled   关闭
  4. 显示selinux的状态: getenforce
  5. 更改selinux的开机状态:
    在这里插入图片描述
    在这里插入图片描述
    更改完状态要重启才能生效
    在这里插入图片描述
    在这里插入图片描述
  6. selinux的两个级别: 强制和警告
    setenforce 0 -----> permissive
    setenforce 1 -----> enforcing
    在这里插入图片描述
  7. selinux报错日志: /var/log/audit/audit.log

二、selinux:安全上下文访问规则

  1. 安全上下文简介:
      所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的
      在SELinux中,访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文
      比如:我们从别的地方移动一个文件到/var/ftp,而当我们登陆lftp之后,发现看不到该文件,是因为这个文件的安全上下文和/var/ftp的安全上下文不匹配,这就是selinux的保护机制,所以我们需要将这个文件的安全上下文修改和/var/ftp的达到一致
  • 测试
  • 查看selinux状态为强制模式
    在这里插入图片描述
  • 在/mnt下新建一个文件hui,并将它移动到 /var/ftp
    在这里插入图片描述
    注意:
    mv是重命名的过程,文件的属性和权限不会改变(文件上下文类型不会改变)
    cp新建的过程,文件的属性和权限会改变(会重新生成安全上下文)
  • 查看/var/ftp的安全上下文的类型
    (1)ls  -Z  查看文件的安全上下文
    (2)ls  -Zd   查看目录的安全上下文
    /var/ftp是lftp的默认发布目录,它默认的安全上下文是public_content_t
    此处可以看到hui和pub安全上下文类型不一致
    在这里插入图片描述
  • lftp登录服务端,看不到移动过去的文件
    在这里插入图片描述
  • 当把selinux的状态由强制模式改为警告模式后
    在这里插入图片描述
    再次登录客户端,就可以看到移动过去的文件hui
    在这里插入图片描述
  1. 修改上下文的方法:
    (1)临时修改:
  • 查看/ftphome的上下文类型 ,显示default
    在这里插入图片描述
  • chcon -t public_content_t /ftphome/ -R
    -t  表示修改上下文类型为public_content_t
    -R 表示递归设置
    在这里插入图片描述
  • 测试临时属性
    修改selinux的配置文件,将selinux的状态进行如下改变:enforcing–>disabled–>enforcing
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    发现上下文类型又变成默认,说明这种方式的修改是临时的
    在这里插入图片描述
    (2)永久修改:
  • 查看/var/ftp和/ftphome的上下文列表
    因为/ftphome是自己建立的目录,没有列表信息
    在这里插入图片描述
  • 修改/ftphome和底下的所有文件的安全上下文 ,递归刷新并显示刷新过程
    在这里插入图片描述
    -a  表示增加
    -t  表示设置安全上下文的类型为public_content_t
    /ftphome(/.*)?   表示对文件本身和里面的所有文件,包括隐藏文件
  • 再次查看 /ftphome的上下文列表
    在这里插入图片描述
  • 上下文类型永久设定成功
    在这里插入图片描述

三、管理selinux 布尔(sebool)值

SELinux 布尔值是更改 SELinux 策略行为的开关
SELinux 布尔值是可以启用或禁用的规则
(1)本地用户上传

  • 在selinux开启的状态下,默认本地用户是没有上传权限的
    在这里插入图片描述
  • 查看开关(本地用户上传开关是关闭的)
    在这里插入图片描述
  • 开启本地用户上传开关
    在这里插入图片描述
  • 测试:此时本地用户可以上传文件
    在这里插入图片描述
    (2)匿名用户上传
  • 在selinux开启的状态下,匿名用户是没有上传权限
    在这里插入图片描述
  • 编辑ftp服务配置文件,将匿名用户上传权限打开
    在这里插入图片描述
    在这里插入图片描述
  • 修改匿名用户目录的所有组并给组添加权限
    在这里插入图片描述
  • 打开匿名用户上传开关
    在这里插入图片描述
  • 给匿名用户默认家目录的安全上下文类型添加读写权限
    在这里插入图片描述
  • 测试:此时匿名用户可以成功上传文件
    在这里插入图片描述

四、selinux的排错工具: setroubleshoot-server

  • 查看selinux排错工具软件包
    在这里插入图片描述
  • 在/mnt下新建一个文件hui,并将它移动到 /var/ftp
    在这里插入图片描述
  • 清空日志信息,方便测试报错信息
    在这里插入图片描述
  • lftp登录服务端,看不到自己建立的文件,这是由于安全上下文的关系
    在这里插入图片描述
  • 查看selinux的报错日志/var/log/audit/audit.log,会有报错信息产生
    在这里插入图片描述
  • 查看/var/log/messages 日志,里面会有报错的解决方案(排错指令)
    在这里插入图片描述
    在这里插入图片描述
  • 如果删除setroubleshoot-server软件
    在这里插入图片描述
    在这里插入图片描述
    此处再次清空日志信息方便测试
    在这里插入图片描述
  • 再次登录服务端并退出
    在这里插入图片描述
  • selinux报错日志/var/log/audit/audit.log中仍有报错,但是/var/log/messages就不会有排错指令了
    在这里插入图片描述
    在这里插入图片描述
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2361
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文,SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root root system_.
Android SELinux——上下文Context介绍(九)
最新发布
小旭的专栏
10-15 1053
前面文章中介绍 allow 语句中所说的 "映射",即将一个进程关联到一个 type,或者将一个文件关联到一个 type,是通过 context 来完成的。1、进程Context在 SELinux 中,进程的上下文(context)包含了多个字段,用于描述该进程的安全属性。user=_app:user 标识了拥有该进程的 SELinux 用户,_app 通常是 Android 系统中应用程序的默认用户,表示这是一个常规的 app。
linux中的selinux用法
橙汁Iter的博客
11-03 544
一、selinux        SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的 实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的 任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterpr...
selinux的使用
weixin_46097869的博客
02-25 328
selinux 1.selinux简介 SELinux: Secure Enhanced Linux, 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中。 在linux 中有两种...
SElinux简介用法
weixin_30642267的博客
02-04 124
SElinux简介用法 1.什么是SElinux SElinux是“Security Enhanced Linux”的缩写,安全性增强的linux,是linux系统中的一个安全子系统 2.当初设计的目标:避免资源的误用 3.SElinux两个级别 强制和允许 setenforce 0/1 0表示警告(Permissive),1表示强制(Enforcing) 4.查询SElinux状态 5.S...
selinux
weixin_46138661的博客
03-07 363
文章目录一、selinux功能二、selinux状态三、安全上下文四、sebool 一、selinux功能 1、selinux:内核级加强型火墙 2、selinux功能: 当selinux开启会给系统中的每一个文件及每一个程序加载安全上下文,特定安全上下文的程序只能访问特定安全上下文的文件(限定系统中的每一个文件只能被特定程序访问,否则会访问失败),进一步加强了系统中的安全性,当selinux开启...
Linux——防火墙
mantou_riji的博客
05-17 1012
alias 别名=‘实际命令’定义自定义命令影响指定用户的bash解释环境:在~/.bashrc文件中配置,每次开启bash终端时生效影响所有用户的bash解释环境:在文件中配置,每次开启bash终端时生效注意配置完成之后需要在新的终端窗口才可以使用。上面启动的两个web服务,只能通过本机访问,外界网络访问的话会报错:为了解决这个问题我们需要关闭防火墙。防火墙的作用是隔离,从而保护主机安全。防火墙严格过滤入站请求,允许出站请求。主机自己访问自己的时候是不需要经过防火墙的。
LinuxSElinux以及防火墙的关闭
01-09
SElinux以及防火墙的关闭  关闭SELinux的方法:  修改/etc/selinux/config文件中的SELINUX= 为 disabled ,然后重启。...  #—————————————————————  查看selinux状态:  
Linux——web服务配置
Xinan_____的博客
04-23 3023
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linuxselinux详解
huaz_md的博客
03-10 5694
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其中u代表user。
SELinux安全上下文的管理(含图)》RedHat6.3——步骤详细、条理清晰
weixin_30462049的博客
04-26 144
1、为什么浏览器只识别/var/www/html下的文件? 2、为什么不识别别的目录下的index.html文件呢? 3、这里牵扯到身份证,先安装软件包。 4、打开selinux 5、建立一个新的目录 6、修改apache配置文件(修改后重启服务) 7、查看下apache的安全上下文 8、把我建的目录身份证改成apache的身份证。(就是修改安全上下...
杂记-selinux开关
m0_64496909的博客
06-12 328
selinx开关
开启或关闭SELinux
weixin_66060122的博客
10-18 3880
解决nginx转发请求异常的解决办法failed (13: Permission denied) while connecting to upstream
开启Selinux遇到的坑
小刘的博客
01-25 3806
事故起因: 由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本中,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。 开启SELinux 实例上运行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SE
se linux安卓,SELinux开关
weixin_36038435的博客
05-13 959
SELinux开关能够自由开启或者关闭你手机当中的SELinux选项,当然必须要在root的情况之下才能够执行这项功能,如果你深度的研究了安卓或者Linux系统的话,那么你应该知道这款软件或许会让你的手机更加的安全!SELinux开关软件介绍SELinux开关现在是完全安卓的PIE兼容!SELinux Switch应用程序提供了通过易于访问和简单的用户界面将设备SELinux状态切换到允许和执行模...
Linux网络安全篇,进入SELinux的世界(三)
愿你饱经冷暖,仍保纯真
11-07 213
SELinux防火墙配套的服务 一、auditd 1.基本功能 将详细信息写入到 /var/log/audit/audit.log文件 2.设置开机自动启动 chkconfig --list auditd 我们需要注意的是,只有3和5处于off状态时才需要设置,若不是,则auditd已经是开机自启动了。 3.信息查询 (1)通过日志文件/var/log/audit/audi...
SELinux使用详解
weixin_33709609的博客
08-27 1149
SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统。Linux系统使用SELinux技术的目的是为了让各个服务进程都受到约束,使其仅能获取到本应获取的资源。例如,你在电脑上安装了一个美图软件,当你在全神贯注地使用它给照片进行美颜时,它却在后台默默监...
全面介绍SELinux的入门指南:使用Security Enhanced Linux
这本书籍系统地介绍了SELinux的基本概念、架构和使用方法,特别强调了MLS(多级安全)的应用。MLS用于对数据进行不同级别的保护,确保信息流的安全性和隔离性,适用于对安全要求较高的环境。 书籍涵盖了SELinux的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值