Linux下SELinux的初级管理

最新推荐文章于 2023-02-18 23:44:56 发布
原创 最新推荐文章于 2023-02-18 23:44:56 发布 · 609 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #linux

本文介绍了Linux系统下的SELinux,强调其作为内核级安全插件的角色。当SELinux开启时,系统文件与程序会被赋予安全上下文,控制它们的访问权限。文章详细阐述了SELinux的状态切换(强制与警告模式)、安全上下文的临时与永久修改、sebool值的管理以及如何使用setrouble进行故障排除。通过示例展示了SELinux如何增强系统的安全性,例如防止FTP服务的潜在风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.selinux功能

selinux:内核级加强型火墙
selinux是用来保护系统安全性的一个插件
(1)seliux关闭状态时:
在/mnt/中建立文件,文件安全上下文为空,文件被移动到ftp默认发布目录中可以被访问,ftp程序安全上下文为空
在这里插入图片描述
用户可以上传文件
在这里插入图片描述
(2)当selinux开启后,以上功能操作均失败
不能访问新移动到ftp目录下的linuxfile文件,不能上传文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
selinux功能:
当selinux开启会给系统中的每一个文件及每一个程序加载安全上下文
特定安全上下文的程序只能访问特定安全上下文的文件
当selinux开启会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态以保证服务安全性
当需要此功能时需要超级用户手动调节

2.selinux状态

getenforce ##查看selinux状态
状态类型:
Disabled ##关闭
enforcing ##强制
permissive ##警告
setenforce 0|1 ##0表示警告模式 1表示强制模式
selinux开关:
vim /etc/sysconfig/selinux
SELINUX=[selinux的状态]
reboot #当Disabled <----> [enforcing|permissive] 都需要重启

强制(enforcing)和警告(permissive)的区别:
强制模式,既会警告,也会限制访问;警告模式,只会警告,不会限制访问
强制模式下:
在这里插入图片描述
警告模式下:
在这里插入图片描述

3.安全上下文

(1)安全上下文的临时更改
chcon -t 安全上下文 文件
chcon -R -t 安全上下文 目录
chcon -t public_content_t /var/ftp/linuxfile
lftp 访问服务器会发现此文件可被访问成功
selinux 关闭(disabled)重启后,更改安全上下文的文件(linuxfile)的安全上下文还是更改后的安全上下文(public_content_t);
在上一步的基础上,selinux 开启(enforcing)重启后,更改安全上下文的文件(linuxfile)的安全上下文会变为最初它本身的安全上下文(mnt_t)
在这里插入图片描述
(2)永久更改目录或文件的安全上下文
mkdir /ftpuserdir/westosdir
设定student用户登陆ftp服务时默认家目录为/ftpuserdir,当用student用户登陆ftp时/ftpuserdir中的内容无法访问,因为selinux安全上下文不匹配
在这里插入图片描述
在这里插入图片描述
semanager fcontext -a -t public_content_t /ftpuserdir(/.)?
##此命令只添加列表信息,当前不生效,(/.)? 表示目录中将要出现的内容(目录本身和里面的所有内容都会固定)
semanager fcontext -l | grep ftpuserdir ##内核安全上下文列表中有信息
restorecon -RvvF /ftpuserdir/ ##刷新文件安全上下文,vv表示目标不止一个,有很多个
在这里插入图片描述
在这里插入图片描述

4.sebool 值

SEBOOL: 是selinux 对服务功能能添加的开关
getsebool -a | grep ftp ##查看ftp的功能开关
setsebool -P ftpd_anon_write=1|on ##表示开启此匿名用户写的功能,-P 永久生效
注意:
初始的/var/ftp/pub目录的安全上下文是public_content_t,只能访问不能读写,所以在做实验前需要去重新贴标签(安全上下文)为public_content_rw_t,之后再去做测试就不会受到影响
在这里插入图片描述
在这里插入图片描述

5.selinux的排错(setrouble)

(1)dnf install setroubleshoot-server-3.3.19-1.el8.x86_64 -y ##安装排错服务程序
在/mnt目录下新建文件coffee,移动到/var/ftp目录下,当匿名访问这个共享发布目录时,不能浏览到coffee文件
在这里插入图片描述
在这里插入图片描述
(2)sealert -a /var/log/audit/audit.log ##分析日志并提供解决方案
读取/var/log/audit/audit.log里面的所有报告,并且分析里面所有报错的内容,提供给我们解决方式
在这里插入图片描述
setsebool -P ftpd_full_access 1,把这个打开了以后,selinux将不会对我们的ftp做任何的访问控制。所以这个打开后,我们的问题肯定就能解决了,但是安全性就变差了
在这里插入图片描述
运行/sbin/restorecon -v /var/ftp/coffee命令,可以刷新selinux策略,这个文件在当前是符合的,可以被访问,在重启系统之后就不符合了
在这里插入图片描述

Li_barroco
关注
Asterisk配置文件详解之manager.conf
xjsusie的专栏
08-12 2750
Configuration of the Asterisk manager API(AMI)Asterisk控制接口(Asterisk manager API)允许管理客户端程序连接到一个asterisk实例,并且可以通过TCP/IP(AMI通过TCP/IP协议连接到Asterisk 服务器的端口默认为5038)流发送命令或读取事件。相对于FastAGI Asterisk,AMI并没有将控制交给您的应用程序,但允许您查询和随时更改其状态。其中,/etc/asterisk/manager.conf用于对这个管
LinuxSElinux初级管理
运维派
11-08 448
什么是SElinux? 其实 SELinux 是在进行进程、文件等细部权限设定依据的一个核心模块! 由于启动网络服务的也是进程,因此刚好也能够控制网络服务能否存取系统资源的一道关卡! 简而言之:selinux是强制访问控制安全系统,构建于kernel之上,拥有灵活而强制性访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保障,可防御未知攻击 编辑 /etc/sysconfig/seli...
管理Linux中的selinux
thermal_life的博客
02-23 472
######################### 1.selinux功能 ######################### selinux:内核级加强型火墙 当seliux关闭状态: 在/mnt/中建立文件文件安全上下文为空文件被移动到ftp默认发布目录中可以被访问 ftp程序安全上下文为空 且用户可以上传文件 当selinux开启后,重启系统,会发现多了以下三行内容 上下文出现,移动...
SELinux管理
weixin_43519951的博客
02-24 412
目录1.基本 SELinux 安全性概念2.SELinux功能3.SELinux状态4.显示 SELinux 文件上下文5.sebool6.setrouble 1.基本 SELinux 安全性概念 SELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 ,并且系统上的文件和...
selinux--初篇
qq_45279999的博客
05-22 496
本地软件仓库搭建过程: 1、将本地镜像进行挂载 2、编辑本地的yum仓库 3、下载httpd服务 yum install -y httpd 4、启用 httpd 服务程序并将其加入到开机启动项中,使其能够随系统开机而运行, 从而持续为用户提供 Web 服务。 systemctl restart httpd systemctl enable httpd 5、访问网页,浏览器输入127.0.0.1访问网页 配置服务: 在 Linux 系统中配置服务,其实就是修改服务的配置文件。因此,还需要知道这些配置文件
semanage命令(Linux
qq_41960161的博客
08-16 8431
semanage命令用于管理SELinux的策略,格式为“semanage [选项] [文件]”。 SELinux服务极大地提升了Linux系统的安全性,将用户权限牢牢地锁在笼子里。semanage命令不仅能够像传统chcon命令那样—设置文件、目录的策略,还可以管理网络端口、消息接口(这些新特性将在本章后文中涵盖)。使用semanage命令时,经常用到的几个参数及其功能如下所示: Ø -l参数用...
Linux初级系统管理员速食
最新发布
11-04
# 搜寻'根'目录下,忽略大小写且具有'mysql'名的文件、列出头三行 [root@centos7 ~]# find / -iname mysql | head -n 3 /etc/logrotate.d/mysql /etc/selinux/targeted/active/modules/100/mysql /etc/selinux/...
selinux内核级防火墙的初级管理
daidadeguaiguai的博客
11-13 307
1.什么是SelinuxSelinux,内核级加强型防火墙,是基于内核开发出来的一种安全机制,它有力的保障了系统的安全 SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。 对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 它的作用主要有两方面,一方面是在服务上添加安全上下文(...
Linux初级知识点大全
07-14
Linux作为一款免费、开源且高度可定制的操作系统,由Linus Torvalds创建并持续发展。...随着对Linux的深入学习,还可以探索更高级的主题,如Shell脚本编程、系统调优、服务配置等,以提升在Linux环境下的工作效率。
SELinux admin教程(openSUSE SELinux)
Heart_Soul的博客
07-15 2410
SELinux初级(管理员)教程 博主第一次写文章,记得多多支持啊 本教程用openSUSE leap 15.1,服务器配置为例 认真研究了SUSE GUIDE,SELinux adminDOC和优快云各位大佬的博客,结合实际操作总结的 在开始之前,先来了解几个SELinux的概念: 用户(user) 注意SELinux的用户不等同与Linux用户,并且SELinux用户以后缀_u结尾 ...
manager.conf配置文件参数配置
小小的太阳
01-13 1317
manager.conf说明manager.conf用于配置管理接口,这个管理接口是用于远程浏览/更改控制台(及其他)行为。通过使用管理接口,与CLI接口非常相似,你能发送行动,并收到响应。manager.conf使用语法交互方式如下:telnet host 5038注意:你必须要在manager.conf指定一个用户,并设置enabled = yes。# vi /etc/asteri
linux 修改文件上下文,SELinux修改文件上下文:
weixin_31943449的博客
05-11 940
修改文件上下文:以访问Apache返回Forbidden为例,非/var/www/目录的虚拟主机)Apache路径(/var/www/)的上下文为httpd_sys_content_t下面介绍三种方法,详见下文。暂时性修改:方法一:(直接修改上下文)chcon-R -thttpd_sys_rw_content_t /http_vhost_test/因为/http_vhost_test的目录的上下文...
semanage命令的安装
热门推荐
摩杰星
09-18 2万+
semanage命令是用来查询与修改SELinux默认目录的安全上下文。命令介绍这里推荐最为完整的在线中文版man手册 http://man.linuxde.net/semanage
centos7更改远程端口
weixin_30329623的博客
10-25 1307
centos7更改远程端口 一、创建个普通账户(useradd work),给普通账户创建密码(password work) 二、查看应有的软件是否安装 1、查看semanager是否安装执行下面命令:rpm -qa | grep semanager 如果没有安装执行下面命令:yum -y install policycoreutils-python 三、修改ssh配置文件 1、vi ...
LinuxSELinux三种模式的启动、关闭与查看
Thewei666的博客
02-18 5317
我们要知道,并不是所有的进程都会被SELinux管制,所以我们需要知道进程有没有受限(confined)举例来说我们查看一下crond和bash这两个进程是否被限制我们可以看到crond确实是受限的主体进程,而bash因为是本机进程,就是不受限(unconfined_t)的类型。也就是说bash是直接去判断rwx。
RHCSA-A3.配置调试SELinux
SunMy的博客
09-28 2433
红帽RHCE考试上午-RHCSA(RH134) servera.example.com 任务 3. 调试SELinux 非标准端口82上运行的web服务器在提供内容时遇到问题, 根据需要调试并解决问题,并使其满足这些条件 注意:考试的时候全程开启SELinux,不能关闭SELinux 任务要求 系统上的Web 服务器能够提供/var/www/html 中所有现有的HTML 文件(注:不要删除或以其他方式改动现有的文件内容) Web 服务器在端口82 上提供此内容 Web 服务器在系统启动时自动启动
Linux基础:通过semanage管理SELinux
知行合一 止于至善
08-22 2568
semanage诚如其名,对SELinux中的安全上下文能够起到操作的作用。使用非常广泛,比如Rancher的轻量级的Kubernetes:K3S对于在SELinux下设定支持就是使用的semanage,所以安装时需要首先安装semanage所用到的包。这篇文章介绍一下使用semanage查看SELinux的方法。
linux Selinux管理工具semanage
飘过的春风
07-29 1万+
  关联博文:http://blog.youkuaiyun.com/u011630575/article/details/52077563 Selinux极大的增强了Linux系统的安全性,能将用户权限关在笼子里,如httpd服务,apache默认只能访问/var/www目录,并只能监听80和443端口,因此能有效的防范0-day类的攻击。           举例来说,系统上的 Apache 被发现存...
semanage命令详解
Listen2You的博客
10-13 2万+
导读 semanage命令是用来查询与修改SELinux默认目录的安全上下文。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下chcon命令的使用方法。 语法 semanage {login|user|port|interface|fcontext|
SELinux文件标记管理指南:挑战与实践
该书详述了SELinux(Security-Enhanced Linux)中的核心概念和实践,特别是与文件相关的客体标记,这是SELinux中用户最常接触到的一种标记管理形式。 在SELinux中,客体标记(Object Marking)是指赋予文件或其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值