浅谈selinux

SELinux深入解析
最新推荐文章于 2025-03-16 12:29:18 发布
原创 最新推荐文章于 2025-03-16 12:29:18 发布 · 197 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍SELinux(安全增强型Linux防火墙)的概念、工作原理及其配置方法。通过实验步骤演示如何在系统上启用SELinux,调整其状态,以及如何设置特定目录和服务的访问控制。此外,还探讨了本地和匿名用户在SELinux环境下上传文件的权限管理。

selinux------>内核级加强型防火墙

1.selinux简介
selinux(安全增强型linux防火墙):内核级的加强型防火墙,内核上的插件,改变后需要重启

为每个服务设定开关(bool布尔值控制)文件上的标签和所能访问的服务的标签值不同,则无法访问

是可以保护系统安全性的额外机制,在某种程度上,他可以被看作是与标准权限系统并行的权限系统

在常规模式中,以用户身份运行进程,并且系统上的文件和其它资源都设置了权限标签

可以控制那些用户对那些文件具有那些访问权,selinux的另一个不同之处在于,若要访问文件必须具有普通访问权限和selinux访问权限。因此,即使以超级用户身份运行程序,根据进程以及文件或资源的selinux安全性上下文可能拒绝访问资源或文件

2.实验环境配置

vim /etc/sysconfig/selinux		##更改disable为enforcing
getenforce						##查看状态
reboot							##重启生效

在这里插入图片描述
开启的两种形式:permissive/enforcing
目的:给服务加上一个开关
bool值:0 1
on–>开,off–>关
可以有选择性的打开

3.临时更改上下文

chcon  -t  public_content_t  /westos

实验步骤:
(1)新建目录文件,查看安全上下文

mkdir /westos
ls -Z /westos  ##查看安全上下文
touch /westos/file{1..3}

在这里插入图片描述
这时安全上下文为default_t
(2)更改匿名用户家目录

vim /etc/vsftpd/vsftpd.conf
anon_root=/westos
systemctl restart vsftpd

在这里插入图片描述
匿名用户无法查看家目录下的文件
在这里插入图片描述
(3)查看/westos目录的安全上下文
在这里插入图片描述
(3)临时更改上下文后查看安全上下文

chcon  -t  public_content_t  /westos  -R

在这里插入图片描述
(4)匿名登陆后可以访问目录下的文件

lftp 172.25.254.226---->ls

在这里插入图片描述
(5)更改selinux的状态

vim /etc/sysconfig/selinux
更改状态为disabled
重启

在这里插入图片描述
重启后查看安全上下文与之前一样,改变selinux状态后再次重启
在这里插入图片描述
重启之后查看安全上下文,恢复成默认的
在这里插入图片描述
(6)这时匿名用户登陆后,查看不了/westos的内容
在这里插入图片描述
4.永久更改安全上下文

semanage fcontext -a -t public_content_t '/westos(/.*)?'   
 ##引号中的内容表示/westos的目录以及目录中的内容,即永久修改安全上下文
semanage fcontext -l | grep /westos     ##查看
restorecon  -FvvR  /westos/  			 ##刷新

实验步骤
(1)更改安全上下文
在这里插入图片描述
(2)查看/westos的安全上下文 是否被更改
在这里插入图片描述
(3)用匿名用户登陆测试查看
在这里插入图片描述
5.selinux下本地用户的上传权限

lftp 172.25.254.200 -u hhh  ---->put /etc/passwd	##默认无法上传
getsebool -a | grep ftp								##查看ftp的权限
setsebool -P ftp_home_dir on		 		        ##修改ftp_home_dir的bool值
lftp 172.25.254.200 -u hhh  ---->put /etc/passwd	##修改后可以上传

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
6.selinux下匿名用户的上传权限
(1)增加匿名用户的上传权限并查看这时能否上传

vim /etc/vsftpd/vsftpd.conf	##更改配置文件,开启服务
加入:write_enable=YES
     anon_upload_enable=YES
chgrp ftp /var/ftp/pub		##把ftp加入到pub组中
chmod 775 /var/ftp/pub		##修改pub的权限

在这里插入图片描述
(2)修改bool值

getsebool -a | grep ftp	        ##查看sebool的值,查看是否开启ftpd_anon_write
setsebool -P ftpd_anon_write on ##开启ftpd_anon_write

在这里插入图片描述
这时依旧无法上传
在这里插入图片描述
(3)设定目录可写

ls -Zd /var/ftp/pub/			##查看pub的权限
semanage fcontext -a -t public_content_rw_t /var/ftp/pub##修改为public_content_rw_t
restorecon -RvvF /var/ftp/pub/	##对/pub/中的东西一起赋权

在这里插入图片描述

在这里插入图片描述
7.系统对文件访问的两种回应
(1)拒绝访问
setenforce 1 getenforce—>Enforcing
(2)警告但可以访问
setenforce 0 getenforce—>Permissive

步骤:  touch /mnt/file
       mv /mnt/file /var/ftp
       lftp 172.25.254.226 ----> ls   ##输入ls看是否能访问到刚刚传输的file

情况1
在这里插入图片描述
情况2
在这里插入图片描述
8.查看报错的解决方法

日志文件记录错误

(1)cat /var/log/messages(报错且会提示解决方案)
	 卸载服务:rpm -qa | grep setroubleshoot					##查询服务所在软件
	yum remove setroubleshoot-server-3.2.17-2.e17.x86_64	##卸载软件
	  安装服务:yum search setroubleshoot						##查询所在软件
	yum install setroubleshoot-server.x86_64 -y				##安装
(2)cat /var/log/audit/audit.log(只会报错)

验证,当setenforce 1时,会拒绝访问,这时可以使用日志文件查询错误

日志1
在这里插入图片描述
日志2
在这里插入图片描述

浅谈SElinux及httpd服务打不开指定页面(显示httpd服务程序默认首页面)的问题
m0_46314654的博客
10-31 1669
先来做个实验 修改httpd网站数据保存目录【默认为/var/www/html 修改为 /home/wwwroot】1.建立目录,并创建首页文件 mkdir /home/wwwroot echo "BB" > /home/wwwroot/index.html 2.修改httpd主配置文件。 将119行DocumentRoot参数改为/home/wwwroot 将124行用于定义目录权限参数Directory 改为/home/wwwroot vim /etc/httpd/conf/httpd...
浅谈云计算12 | KVM虚拟化技术
时光札记
01-14 2200
KVM,即基于内核的虚拟机(Kernel - based Virtual Machine),是一种基于Linux内核实现的开源虚拟化技术,从Linux 2.6.20版本开始被合入kernel主分支维护。它将Linux内核转变为一个虚拟机监控程序(Hypervisor),使得主机计算机能够运行多个隔离的虚拟环境,即虚拟机(VM)。在这种架构下,KVM本身主要负责虚拟CPU和内存的管理,而设备模拟等功能则由用户态的QEMU(Quick Emulator)来实现。
浅谈SELINUX
SUSUSU的博客
12-20 403
浅谈selinux SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。 ##SELINUX概述 关闭SELINUX或没有添加SELINUX的情况下,系统更易遭到入侵并造成极...
selinux管理及其对ftp服务的影响
_Twinkle的博客
01-29 1256
一、selinux简介 1.selinux是什么 selinux是内核级加强型火墙 开启或关闭selinux时只能通过重启电脑来实现设置 作用:限制服务功能,限制服务访问功能 2.selinux的状态 状态 解释 Enforcing 警告并拒绝 Permissive 警告并允许 Disabled 关闭 注:产生的警告信息会保存在/var/log/message或/var...
SELinux整理笔记
liguangxianbin的博客
05-25 5543
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
浅谈Selinux-内核级加强火墙
weixin_43414025的博客
03-02 259
文章目录SELinux功能 SELinux 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 它的安全策略是任何程序对其资源享有完全的控制权。 它拥有以下几个特点 1,...
linux应用服务排错,浅谈SELinux的配置以及排错问题
weixin_35626077的博客
05-06 189
Samba服务器selinux的配置部分安装[root@localhost Server]# rpm -ivh perl-Convert-ASN1-0.20-1.1.noarch.rpm[root@localhost Server]# rpm -ivh samba-3.0.33-3.14.el5.i386.rpm[root@localhost Server]# mkdir /aa[root@loc...
浅谈Selinux的配置以及排错问题
weixin_33860553的博客
12-24 298
SELinux(Security-EnhancedLinux)是美国国家安全局(NAS)对于强制访问控制的实现,字面上的意思就是安全强化的linux之意。 1.开启selinux后要重新启动系统才能生效 2.也可以在修改 [root@localhost~]#vim/etc/sysconfig/selinux 6SELINUX=enforcing...
浅谈Docker安全
专注网络安全、Linux、K8s等技术分享,愿你在云计算运维领域不断进阶,欢迎随时交流。
03-16 1445
Docker 是在 Linux操作系统层面上的虚拟化实现,运行在容器内的进程,跟运行在本地系统中的进程,本质上并无区别,不合适的安全策略将可能给本地系统带来风险。因此Docker的安全性在生产环境中是十分关键的衡量因素。
Oracle_RAC原理浅谈
09-02
在安装Oracle RAC的Linux环境中,为了确保系统的稳定运行,通常需要关闭防火墙和SELinux,因为它们可能对集群间的通信造成干扰。同时,配置环境变量时需要注意字符格式,避免因配置错误导致的问题。 在系统冗余方案...
浅谈Docker安全机制内核安全与容器之间的网络安全 <font color=red>原创</font>
09-30
尽管cgroups和namespaces为Docker提供了基本的内核安全,但仍然存在一些尚未隔离的系统资源,比如/proc和/sys文件系统、SELinux安全策略、时间、日志和某些设备文件等。这些未隔离资源可能成为潜在的安全威胁,需要...
不确定发电中的交流电网中的分布式随机储备调度.zip
12-04
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
axure的chrome插件
12-04
axure的chrome插件
毕业设计基于spark的西南天气数据的分析与应用源码+演示视频.zip
最新发布
12-04
毕业设计基于spark的西南天气数据的分析与应用源码+演示视频.zip
含光热电站、有机有机朗肯循环、P2G的综合能源优化调度(Matlab代码实现)
12-04
内容概要:本文介绍了一个基于Matlab的综合能源系统优化调度仿真资源,重点实现了含光热电站、有机朗肯循环(ORC)和电含光热电站、有机有机朗肯循环、P2G的综合能源优化调度(Matlab代码实现)转气(P2G)技术的冷、热、电多能互补系统的优化调度模型。该模型充分考虑多种能源形式的协同转换与利用,通过Matlab代码构建系统架构、设定约束条件并求解优化目标,旨在提升综合能源系统的运行效率与经济性,同时兼顾灵活性供需不确定性下的储能优化配置问题。文中还提到了相关仿真技术支持,如YALMIP工具包的应用,适用于复杂能源系统的建模与求解。; 适合人群:具备一定Matlab编程基础和能源系统背景知识的科研人员、研究生及工程技术人员,尤其适合从事综合能源系统、可再生能源利用、电力系统优化等方向的研究者。; 使用场景及目标:①研究含光热、ORC和P2G的多能系统协调调度机制;②开展考虑不确定性的储能优化配置与经济调度仿真;③学习Matlab在能源系统优化中的建模与求解方法,复现高水平论文(如EI期刊)中的算法案例。; 阅读建议:建议读者结合文档提供的网盘资源,下载完整代码和案例文件,按照目录顺序逐步学习,重点关注模型构建逻辑、约束设置与求解器调用方式,并通过修改参数进行仿真实验,加深对综合能源系统优化调度的理解。
XFETeam_react-lss-autocomplete_13744_1764827764273.zip
12-04
XFETeam_react-lss-autocomplete_13744_1764827764273.zip
运维-指针-1-指针用法初次简单介绍.swf
12-04
运维-指针_1_指针用法初次简单介绍.swf
PINN驱动的三维声波波动方程求解(Matlab代码实现)
12-04
内容概要:本文介绍了基于物理信息神经网络(PINN)驱动的三维声波波动方程求解方法,并提供了相应的Matlab代码实现。该方法将物理定律嵌入神经网络训练过程中,利用深度学习技术求解复杂的偏微分方程,在无需大量标注数据的情况下实现对三维声波传播过程的高精度PINN驱动的三维声波波动方程求解(Matlab代码实现)建模与仿真。文中涵盖了PINN的基本原理、网络结构设计、损失函数构建及优化策略,展示了其在声学仿真中的应用潜力,具有较强的工程与科研参考价值。; 适合人群:具备一定深度学习和偏微分方程基础知识,从事声学、仿真建模、计算物理或相关领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:① 掌握PINN在物理系统建模中的应用方式;② 实现三维声波波动方程的无网格数值求解;③ 借鉴代码框架开展其他物理场的神经网络仿真研究; 阅读建议:建议读者结合Matlab代码深入理解PINN的实现细节,重点关注物理约束如何通过损失函数融入网络训练,并可通过调整网络参数或物理条件进行扩展实验,以加深对模型泛化能力与收敛特性的理解。
这是一个基于Create_React_App脚手架构建的React_Context_API核心机制深度实践与演示项目_专注于通过构建完整可交互的示例应用来透彻讲解React内置的C.zip
12-04
这是一个基于Create_React_App脚手架构建的React_Context_API核心机制深度实践与演示项目_专注于通过构建完整可交互的示例应用来透彻讲解React内置的C.zip
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统中,Security Enhanced Linux(SELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值