SElinux

原创 于 2024-11-25 21:29:50 发布 · 977 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

SELinux是Security-Enhanced Linux的缩写,意思是安全强化的linux

SELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用传统的访问控制在我们开启权限后,系统进程可以直接访问

当我们对权限设置不严谨时,这种访问方式就是系统的安全漏洞

在开启SElinux后

会对进程本身部署安全上下文

会对文件部署安全上下文

会对服务使用端口进行限制

会对程序本身的不安全功能做限制

[root@localhost ~]# grubby --update-kernel ALL --args selinux=1

[root@localhost ~]# reboot

[root@localhost ~]# dnf install vsftpd -y

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

[root@localhost ~]# systemctl enable --now vsftpd

[root@localhost ~]# dnf install lftp -y

[root@localhost ~]# touch /mnt/file

[root@localhost ~]# mv /mnt/file /var/ftp/

[root@localhost ~]# cd /var/ftp/

[root@localhost ftp]# ls

file  pub

[root@localhost ftp]# ls -Z

unconfined_u:object_r:mnt_t:s0 file  system_u:object_r:public_content_t:s0 pub

[root@localhost ftp]# chcon -t public_content_t file

Selinux 重启的标识文件  文件存在 在重启系统后会重新初始化

[root@localhost ftp]# touch /mnt/leefile

[root@localhost ftp]# ls -Z /mnt/leefile

unconfined_u:object_r:mnt_t:s0 /mnt/leefile

[root@localhost mnt]# semanage fcontext -a -t public_content_t '/mnt/leefile(/.*)?'

[root@localhost mnt]# semanage fcontext -l | grep leefile

永久设置安全上下文

[root@localhost mnt]# ls -Z /mnt/leefile

unconfined_u:object_r:mnt_t:s0 /mnt/leefile

[root@localhost mnt]# restorecon -RvvF /mnt/leefile

Relabeled /mnt/leefile from unconfined_u:object_r:mnt_t:s0 to system_u:object_r:public_content_t:s0

selinux对linux服务的影响

服务的功能影响

在系统SElinux开启后会为服务添加新的功能开关,我们把这个开关叫做sebool

[root@localhost mnt]# setsebool -P ftpd_anon_write on  修改sebool值

[root@localhost mnt]# getsebool -a | grep ftp   查看sebool

ftpd_anon_write --> on

ftpd_connect_all_unreserved --> off

ftpd_connect_db --> off

ftpd_full_access --> off

ftpd_use_cifs --> off

ftpd_use_fusefs --> off

ftpd_use_nfs --> off

ftpd_use_passive_mode --> off

httpd_can_connect_ftp --> off

httpd_enable_ftp_server --> off

tftp_anon_write --> off

tftp_home_dir --> off

服务的端口影响

在系统SElinux开启后会规定服务使用端口

查看服务被允许使用的端口

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t                     tcp      22

[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 8888

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t                     tcp      8888, 22

titxixYY
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值