Linux系统中的selinux设定

最新推荐文章于 2025-06-16 15:18:31 发布
原创 最新推荐文章于 2025-06-16 15:18:31 发布 · 749 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#selinux

这篇博客详细介绍了Linux中的SELinux,包括其作为内核级防火墙的作用,安全上下文的概念及其对文件和服务的影响。内容涵盖如何查看和设置文件的安全上下文,以及在SELinux开启状态下本地用户和匿名用户上传文件的权限设定。同时,讨论了SELinux的enforcing和permissive两种运行模式,并提供了错误排查的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、selinux简介

selinux: 内核级加强型防火墙

作用:
对于文件的影响:特定的程序只能访问特定的文件(文件上加标签),
对服务的影响:seliux可以给服务加开关(bol值0和1)
selinux的三种状态:
enforcing   强制模式
permissive  警告模式
disabled   关闭

二、selinux安全上下文

安全上下文简介:
  所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的
  在SELinux中,访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文
  比如:我们从别的地方移动一个文件到/var/ftp,而当我们登陆lftp之后,发现看不到该文件,是因为这个文件的安全上下文和/var/ftp的安全上下文不匹配,这就是selinux的保护机制,所以我们需要将这个文件的安全上下文修改和/var/ftp的达到一致

环境:  
rm -rf /etc/vsftpd/
yum reinstall vsftpd -y

vim /etc/sysconfig/selinux
改为enforcing

1.selinux文件测试
1.在/mnt/创建文件test
2.mv移动到/var/ftp/
在这里插入图片描述
3.在另一台主机lftp登录看不到test文件
在这里插入图片描述

解决办法:
cd /var/ftp
chcon -t public_content_t test
ls -Z test
在这里插入图片描述
在这里插入图片描述
注意:
mv是重命名的过程,文件的属性和权限不会改变(文件上下文类型不会改变)
cp新建的过程,文件的属性和权限会改变(会重新生成安全上下文)
(1)ls  -Z  查看文件的安全上下文
(2)ls  -Zd   查看目录的安全上下文

2.selinux临时性测试
mkdir /westos
touch /westos/file1
在这里插入图片描述
ls -Z /westos/
在这里插入图片描述
vim /etc/vsftpd/vsftpd.conf
systemctl restart vsftpd
在这里插入图片描述
测试:
在这里插入图片描述
解决方法:
在这里插入图片描述
在这里插入图片描述
具有临时性:
semanage fcontext -l | grep /var/ftp       ##/var/ftp具有安全上下文
在这里插入图片描述
semanage fcontext -l | grep /westos         ##/westos没有
在这里插入图片描述
将selinux从enforcing---->Disabled---->enforcing
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
3.永久设定selinux文件下上文,即添加到上下文列表
semanage fcontext -a -t public_content_t "/westos(/.*)?"       ##/westos(/.*)表示westos目录本身和里面的所有内容
semanage fcontext -l | grep /westos
ls -Zd /westos/          ##会发现没有更改
在这里插入图片描述
restorecon -FvvR /westos/      ##重新刷新服务
ls -Zd /westos/
在这里插入图片描述

三、selinux开启时本地用户上传

在selinux开启的状态下,默认本地用户是没有上传权限的
在这里插入图片描述
getsebool -a | grep ftp查看开关
setsebool -P ftp_home_dir on
getsebool -a | grep ftp
(553的话chmod u+w /home/*)

四、selinux开启时匿名用户上传

第一:
vim /etc/vsftpd/vsftpd.conf(开启匿名用户上传功能)
systemctl restart vsftpd

第二:
chmod 775 /var/ftp/pub/
chgrp ftp /var/ftp/pub/
getsebool -a | grep ftp(发现匿名用户的上传功能被关)

setsebool -P ftpd_anon_write on##-P永久开启
semanage fcontext -a -t public_content_rw_t /var/ftp/pub##给他读写权限
restorecon -FvvR /var/ftp/pub/ ##重新刷新

五、selinux开启有两种状态

enforcing ##强制警告并拒绝
permissive ##警告
setenforce 0 -----> permissive
setenforce 1 -----> enforcing

cd /mnt/
touch file
lftp 172.25.254.211 ##看不见file
getenforce ##查看selinux状态
setenforce 1 ##改成permissive ##只警告不拒绝可以看见
setenforce 0 ##改成enforcing ##强制警告并拒绝

报错信息查看:

setenforce 1
/var/log/audit/audit.log
lftp 172.25.254.211
cat /var/log/audit/audit.log

提供报错解决方案的软件
rm -rf /var/ftp/pub ##删除原有的pub
在/var/ftp/下新建pub
chmod 775 /var/ftp/pub/
chgrp ftp /var/ftp/pub/

> /var/log/messages
lftp 172.25.254.211  ##进入pub上传文件出现553报错
cat /var/log/messages   ##日志里会出现解决方案

yum remove setroubelshoot
删除后messages日志不会出现解决方案
在/var/log/audit/audit.log ##有报错但没有解决方案
rpm -qa | grep setroubleshoot
yum install setroubleshoot-server-3.2.17-2.el7.x86_64 -y

偶尔偶尔
关注
SELinux 简介与配置指南
IsdCoding的博客
09-30 692
安全上下文(Security Context):SELinux 为每个进程和文件对象分配一个安全上下文,该上下文由标签组成,用于标识对象的安全属性。强制访问控制(MAC):与传统的自由访问控制(DAC)不同,SELinux 使用强制访问控制来限制进程和文件对象之间的交互。SELinux Booleans:SELinux Booleans 是可以切换的开关,用于启用或禁用特定的 SELinux 功能。通过了解 SELinux 的基本概念和配置步骤,您可以更好地保护您的服务器并提高系统的安全性。
服务器SELinux配置
suchenbin的博客
08-04 632
最近遇到了SElinux配置的问题,所以简单记一下。 1、SElinux有3种模式 宽容模式(permissive):代表SELinux正在运行,并且已经正确开始限制domain/type的访问; 强制模式(enforcing):代表SELinux正在运行,不会实际限制domain/type的访问,仅有警告信息,一般调试时使用; 永久关闭(disabled):SELinux没有运行。 2...
Linux系统selinux规则配置详解
十七拾的博客
03-07 7318
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
Linux系统selinux详解
最新发布
xujiangyan_的博客
06-16 1061
例:找对象时,男人看作主体,女人就是目标,男人是否可以追到女人(主体是否可以访问目标),主要看两人的性格是否合适(主体和目标的安全上下文是否匹配),但两个人的性格是否合适,是需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断的((dhcpd,httpd,named,nscd,ntpd,portmap,snmpd,squid,以及 syslogd),对本机系统的限制极少。(Mandatory Access Control),可以针对特定的进程与特定的文件资源来进行权限的控制,
Selinux配置详解.pdf
12-28
Selinux的基本配置,SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。
Linux上使用SELinux保护网络服务
沃和莱特的博客
11-16 1616
Linux上使用SELinux保护网络服务相关演示
Linux系统中对selinux设定
Sparks _Fly
02-11 393
内核上的插件,需要对内核进行重启 selinx 内核级的加强型火墙 安全上下文匹配可以访问 特定的程序只能访问安全上下文匹配的文件 如果不匹配会被内核禁止 还会影响服务本身的功能 给每一个服务加上开关 0 1 bool值 拨尔值 有选择性的打开on开 off关 文件上的标签和所能访问的服务上的标签不一致则不能访问 chcon 更改安全上下文是临时的 内核上的安全上下文内容 默认的 semana...
Linux中的selinux,磁盘管理
2301_80926503的博客
03-20 1143
Linux中的selinux,磁盘管理
Linuxselinux基础配置教程详解
09-15
Linux系统中,Security-Enhanced LinuxSELinux)是一个重要的安全子系统,它通过强化内核来增强系统的安全性。本文将深入讲解如何在Linux环境中配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **...
Linux系统selinux目录,SELinux深入理解
weixin_33278819的博客
05-05 979
1. 简介SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。Security-Enhanced Linux (SELinux)由以下两部分组成:Kernel SELinux模块(/kernel/security/selinux)用户态工具SELinux是一个安全体系结构,它通过LSM(Linux Security Modules)框架被集成到Linux Kernel ...
linux系统selinux设置。
热门推荐
shang_feng_wei的博客
04-20 1万+
1、SELinux SELinuxLinux 内核中提供的强制访问控制系统selinux有disabled、permissive、enforcing 三种选择: Disabled :不启用控制系统。 permissive:开启控制系统,但是处于警告模式。即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。 Enforcing:开启控制系统,处于强制状态。一旦违反了策略,就无法继续...
Linux中的selinux设置
RainingCostaRiga的博客
02-09 649
selinux即(Security-Enhanced Linux)安全增强型Linux,它是一个Linux内核模块,也是Linux的一个安全子系统selinux有三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive:警告模式,在selinux运作时,会有警告信息,但不会限制domain/type的存取。 disabled:...
Linux--selinux设置
weixin_44822212的博客
04-21 336
一.SELINUX 定义:是linux中提供的内核强制访问控制系统,是Linux的内核模块,也是linux系统的一个安全子系统。 状态:Disabled ##不启动控制系统 Enforcing ##启动控制系统,处于强制状态。如果违反selinux的规则则操作被阻止并记录在日志中 permissive ##启动控制系统,处于警告模式。可以继续执行,但是会把违反的操作记录下来 SElinux工...
Linux】时间同步设置+防火墙设置+SELinux设置
07-02 2393
时间同步设置 在大数据集群环境中,要求每台集群的时间必须是同步的,这样我们就会要求每台集群的时间必须和一台服务的时间是同步的。接下来介绍一下步骤: 1,设置ntp客户端 yum -y install ntp 安装ntp时间同步软件 systemctl enable ntpd 使软件可用 systemctl start ntpd 启动ntp软件 2,编辑/etc/ntp.conf文...
基于Linux系统selinux配置
Forever 的博客
05-15 1259
一、selinux简介 selinux称为内核级加强型防火墙;selinux的目的在于明确的指明某个进程可以访问那些资源(文件,网络端口等);selinux是由美国国家安全局(NSA)开发 ,整合到linux内核的一个模块。selinux的主要作用有:针对文件,会对系统中每个文件添加安全上下文(context);针对进程会对系统中的每个进程添加安全上下文;会在系统服务上设定sebool开关;当进程...
Selinux配置
云梦归遥【qq_45834685】
11-03 2232
Selinux配置 selinux对于Linux系统可谓是十分重要。它的主要作用是对非超级用户和普通用户进行控制,而是对系统用户进行控制,尤其是一些服务,安装之后会默认创建一些系统用户,为了避免外部人员通过服务访问Linux系统的时候进入系统,访问到其他内容,以及限制服务的作用范围。 但是也可以对端口等作出操作,比如说修改一些著名的服务,比如说httpd的默认访问端口80为10000,避免外部恶意用户进行恶意访问等。 selinux状态: enforcing: 使用selinux强制保护系统 perm
selinux配置
o343196469的博客
07-08 451
null
SELINUX配置
limengshi138392的博客
04-18 643
SELINUX配置
Selinux 配置
qq_44844314的博客
06-30 606
SOC: Rk3399, Platform: Android 8.0. 一: 文件不可写,未获取到write属性。 在打印错误log中获取主要信息 denied -->需要获取的权限,name-->需要获取权限的文件,scontext-->需要配置的文件,tcontext-->文件所在路径,tclass-->文件类型。 type=1400 audit(0.0:49): avc: denied { write } for name="dwc3_mode" dev="s...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值