Linux中内核级加强型火墙的管理(Selinux)

最新推荐文章于 2025-08-05 19:41:49 发布
最新推荐文章于 2025-08-05 19:41:49 发布
阅读量894 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux系统工程师 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47408850/article/details/121306901
本文详细介绍了Linux中内核级加强型火墙Selinux的管理,包括状态管理、安全上下文查看与修改、SEBOOL设置、SEPORT操作以及利用setrouble排查问题和解决策略。通过实例演示了如何开启和关闭Selinux,以及如何在强制和警告模式间切换,临时和永久修改安全上下文,调整端口策略,并利用系统工具解决Selinux引发的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、Selinux的状态及管理

1、selinux的开启和关闭(永久的)

2、selinux开启后强制和警告级别的转换(临时的)

二、Selinux的安全上下文

1、查看

2、修改安全上下文

3、实验

      3.1临时修改安全上下文(注意:selinux要为permissive的状态)

      3.2 永久修改安全上下文

三、SEBOOL

四、SEPORT

五、setrouoble

1、制造问题

2、查看解决方案

3、按照解决方案解决问题

 

一、Selinux的状态及管理

1、selinux的开启和关闭(永久的)

SELINUX = disabled #selinux 关闭
SELINUX = enforcing #selinux 开机设定为强制状态此状态为 selinux 开启
SELINUX = permissive #selinux 开机设定为警告状态此状态为 selinux 开启
        enforcing : 不符合条件一定不能被允许, 并会收到警告信息
        permissive : 不符合条件被允许, 并会收到警告信息
注:selinux开启或关闭需要重启系统
selinux日志位置 / var / log / audit / audit. log 
[root@westosa100 ~]# vim /etc/selinux/config 
[root@westosa100 ~]# reboot
[root@westosa100 ~]# getenforce    ##查看selinux状态 
Enforcing

  •  等它慢慢启动就好了

  •  状态修改成功(永久的)

2、selinux开启后强制和警告级别的转换(临时的)

[root@westosa100 ~]# setenforce 0    ##警告
[root@westosa100 ~]# getenforce 
Permissive
[root@westosa100 ~]# setenforce 1    ##强制
[root@westosa100 ~]# getenforce 
Enforcing

二、Selinux的安全上下文

1、查看

ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps axZ ##查看进程的安全上下文

2、修改安全上下文

临时修改 ,此方式更改的安全上下文在selinux重启后会还原 
chcon -t         标签         文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文
永久修改安全上下文
# 如果需要特殊指定安全上下文需要修改内核安全上下文列表 
semanage fcontext -l ##查看内核安全上下文列表
semanage fcontext -a -t public_content_t '/westosdir(/.*)?'    ##增加
semanage fcontext -d -t public_content_t '/westosdir(/.*)?'    ##删除
restorecon -RvvF /westosdir/    ###刷新安全上下文列表
touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件

3、实验

3.1临时修改安全上下文(注意:selinux要为permissive的状态)

  • 建立文件test,查看其安全上下文

  •  临时修改/test的安全上下文

  •  重启后还原,因此为临时修改

3.2 永久修改安全上下文

[root@westosa100 ~]# semanage fcontext -a -t public_content_t '/test(/.*)?'
[root@westosa100 ~]# restorecon -RvvF /test/
[root@westosa100 ~]# ls -Zd /test

 三、SEBOOL

getsebool - a         ##现实服务的bool
setsebool - P ftpd_anon_write on         #更改

 四、SEPORT

semanage port - l | grep ssh        ####查看安全上下文中ssh端口号
semanage port - a - t ssh_port_t - p tcp 1111        ####修改 安全上下文中 端口号
  • 增加端口号

  •  删除端口号

五、setrouoble

  • /var/log/audit/audit.log         ##selinux警告信息
  • /var/log/messages               ##selinux问题解决方案
  • setroubleshoot-server         ##此软件功能是采集警告信息并分析得到解决方案存放到                                                    message中

1、制造问题

修改ssh端口号,使它发生错误,按照messages中给的提示修改错误

 2、查看解决方案

3、按照解决方案解决问题

  •  错误修改成功

linux系统中selinux的简介与用法
liuchuang11的博客
05-03 534
首先是网络配置,删除以前的网络配置。将 /etc/vsftpd 删除 rm -rf /etc/vsftpd/ yum install vsftpd.x86_64 -y 重新下载一个 重启服务 systemctl restart vsftpd lftp登陆查看 lftp 172.25.254.112 < selinux 内核防火墙 > vim /etc/sysconfig...
2.6 Linux内核级加强型火墙管理
weixin_47133613的博客
02-22 293
文章目录1. 关闭、开启selinux的区别2. Selinux的影响3. selinux的状态及管理4. selinux的安全上下文4.1 临时修改安全上下文4.2 永久修改安全上下文5. SEBOOL6. SEPORT 实验环境 初始化ftp服务 rm -fr /etc/vsftp/ dnf reinstall vsftpd -y chgrp ftp /var/ftp/pub chmod 775 /var/ftp/pub 修改12行:anonymous_enable=YES允许匿名用户上传 修改29行
推荐项目:Arch Linux上的SELinux支持
gitblog_00064的博客
06-14 400
推荐项目:Arch Linux上的SELinux支持 1、项目介绍 archlinuxhardened/selinux 是一个专门为Arch Linux设计的开源项目,它提供了SELinux(安全增强型Linux)的支持,旨在提升系统的安全性。通过这个项目,你可以轻松地在Arch Linux上安装和管理SELinux相关组件,享受更高级别的安全防护。 2、项目技术分析 该项目包括一系列PKGBUI...
SElinux
2302_80341330的博客
11-25 687
SELinux;是Security-Enhanced Linux的缩写,意思是安全强化的linuxSELinux主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用传统的访问控制在我们开启权限后,系统进程可以直接访问当我们对权限设置不严谨时,这种访问方式就是系统的安全漏洞在开启SElinux后:会对进程本身部署安全上下文会对文件部署安全上下文会对服务使用端口进行限制会对程序本身的不安全功能做限制。
LInux基础——SELinux
热门推荐
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
第二单元 Linux内核级加强型火墙管理
gk12050802的博客
11-04 161
一.Selinux的功能 1.观察现象 当Selinux未开启时在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 举例: [roo...
Linux学习笔记23】selinux内核级加强型火墙管理(安全上下文、Sebool、Seport、Setrouble)
weixin_46069582的博客
12-02 720
文章目录1. Selinux1.1 Selinux关闭状态1.2 Selinux开启状态1.3 Selinux的影响2. Selinux管理状态2.1 查看状态2.2 Selinux切换状态2.3 Selinux日志位置3. Selinux安全上下文(Content)3.1 查看安全上下文3.2 临时修改安全上下文3.3 永久修改安全上下文4. Sebool4.1 上传文件失败4.2 修改Sebool解决5. Seport(Selinux端口标签)6. SeTrouble(Selinux排错)6.1 Set
SELinux(内核级加强型火墙)
qq_36275923的博客
11-13 528
文章目录SELinuxSELinux设定一.查看、更改SELiunx状态二.对安全上下文的修改三.修改程序的bool值四.SELinux报错的问题及解决方法 SELinux   SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访...
selinux内核级火墙的初级管理
daidadeguaiguai的博客
11-13 307
1.什么是SelinuxSelinux内核级加强型火墙,是基于内核开发出来的一种安全机制,它有力的保障了系统的安全 SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。 对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 它的作用主要有两方面,一方面是在服务上添加安全上下文(...
23.Linux内核中SELinux简析(简介、安全上下文、SELinux的布尔值、SELinux报错解决)
愿你走出半生,归来仍是少年!
02-19 1937
1.SELinux简介 1)SELinux 全称 Security Enhanced Linux (安全强化 Linux),是美国国家安全局2000年以 GNU GPL 发布,是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统 的用途在于增强系统抵御 0-Day 攻击(利用...
Archlinux 折腾记录及感受(中)
conding_算子
04-06 3574
Archlinux 折腾记录及感受(中)看到Arch从本地硬盘启动,并能成功连上wifi,心情无比激动。然而,这仅仅只是开始。接下来,需要配置基本的图形界面,浏览器,字体,输入法,窗口管理器,文件管理器…定制一个专属于自己轻量级操作系统。基本系统配置 创建一个日常使用的桌面用户,并给用户添加root权限以及使用zsh作为终端# pacman -S zsh # useradd -m -g users
arch linux界面优化,Archlinux 启动优化
weixin_35803480的博客
05-09 810
内核参数优化修改/boot/grub/grub.cfg 添加libahci.ignore_sss=1 #禁用sssraid=noautodetectipv6.disable=1 #禁用ipv6nomodeset #不使用kms,plymouth.enable=0 #禁用plymouthrootfstype=ext4 #root分区类型selinux=0#禁用selinux 完成后:linux ...
Archlinux 启动优化
weixin_33968104的博客
01-16 602
为什么80%的码农都做不了架构师?>>> ...
arch_linux安装kvm
行动派
08-28 7590
此案例以Arch Linux进行安装及配置kvm的操作,其他Linux发行版本借鉴。
linuxselinux强制访问控制
Ying_smile的博客
05-16 5371
selinux selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
linux-系统日志查看指令systemctl
guchuanhang的专栏
08-05 297
本文介绍了Linux系统管理中的三个重要工具:systemctl用于管理系统服务,包括启动/停止服务和设置开机自启;journalctl用于查看systemd日志,支持按服务筛选和实时跟踪;以及基本日志查看和端口占用检查方法。文中还讲解了.service文件的存放位置差异,提供了常用命令参考和实用技巧,如查看Nginx进程启动时间、日志关键字搜索等。这些工具和技巧能有效帮助管理员进行日常系统维护和故障排查。
linux2.6 和 unix-v6 源码实验
is0815的博客
08-03 1026
你可以通过实现 Linux 2.6.x 的源码级图形调试,能看到源码、变量、寄存器,非常适合研究内核启动过程。同理,可以编译 unix-v6 (https://github.com/mit-pdos/xv6-public.git)以下是使用xv6‑public(xv6 的 x86 版本)在 Ubuntu/Linux 上安装、编译、运行、调试的详细中文指南。如果你想使用 RISC‑V 版本(xv6‑riscv),后续内容里也有说明。面向 Intel x86 架构,使用 ELF 格式。
14.Linux : nfs与autofs的使用
最新发布
xie52的博客
08-05 404
【代码】14.Linux : nfs与autofs的使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值