Linux学习16 SELINUX

最新推荐文章于 2024-12-11 17:59:11 发布
原创 最新推荐文章于 2024-12-11 17:59:11 发布 · 338 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Linux的SELinux系统,一个用于最小权限原则的安全子系统。通过`getenforce`查看其三种工作状态:强制、警告和关闭。在强制模式下,服务如ftp的权限受限,例如匿名用户无法上传文件。使用`ls -Z`查看文件上下文,`chcon`可临时修改。永久改变目录上下文涉及复杂步骤。当遇到SELinux错误,日志会记录在`/var/log/audit/audit.log`和`/var/log/messages`中。

概念:安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
作用:SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
工作状态: 命令"getenforce"可以查看SElinux的状态,SElinux的状态分为以下三种:
Enforcing :强制模式
Permissive:警告模式
Disabled :关闭模式
SELinux 工作模式在 /etc/selinux/config 中设定。如果想从 disabled 切换到 enforcing 或者 permissive 的话,需要重启系统。而在enforcing 和 permissive 模式下,可以通过 setenforce 1|0 命令快速切换。在这里插入图片描述在这里插入图片描述
1.SElinux对服务的影响(以ftp为例)
SElinux会在文件上做出上下文标识,例如在"/mnt"和"/var/ftp/pub"下分别建立文件的文件,输入"ls -Z"可以查看文件安全上下文。由于安全上下文不同,将"/mnt/file"移入"/var/ftp/pub"目录下,连接lftp无法看到这个文件。在这里插入图片描述
强制状态时,匿名用户无法上传文件;警告状态时,发出警告,但上传成功。
在这里插入图片描述
本地student用户警告状态时,上传文件成功,强制状态时,上传文件失败。
在这里插入图片描述
查看与ftp服务有关的布尔型规则。
在这里插入图片描述
开启ftp的上传功能。
在这里插入图片描述在这里插入图片描述
安全上下文。
查看安全上下文:SElinux会在目录和文件上留下上下文标识,命令"ls -Z"可以查看。
修改安全上下文:命令"chcon -t 上下文 文件"可以更改文件和目录的上下文标识,就可以解决上述中lftp无法看到其他上下文标识文件的问题。注意,此修改为临时。
在这里插入图片描述
将匿名用户登陆的家目录改为"/var/yan",并将/yan的目录及其子文件安全上下文使用chcon命令改为"public_content_t",连接lftp可以看到这个家目录。但是将SElinux的状态改为"disabled"重启后再改回"enforcing",重启后重新连接lftp,发现/yan的目录及其子文件安全上下文恢复原样。在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
永久改变目录的上下文标识,需要做如下步骤:
在这里插入图片描述在这里插入图片描述
SELinux 日志。
在SElinux的使用当中,会出现一些错误,例如因为文件的安全上下文不同,连接lftp后无法看到里面的文件,SElinux就会记录日志。
SElinux的日志会记录在"/var/log/audit/audit.log"和文件"/var/log/messages"中,前者只会说明错误,但是不会提供解决办法。"/var/log/messages"文件可以详细的记录错误,并且提供解决方法。
SElinux的记录软件是"setroubleshoot-server.x86_64",可以yum search selinux 查找到该软件。
在没有"setroubleshoot-server.x86_64"这个软件的情况下,清空日志后,发现日志中并不会记录这个错误。
下面以因为文件的安全上下文不同,连接lftp后无法看到里面的文件为例。
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

yan940924
关注
linux缺少文件操作数,【已解决】利用linux管道或重定向将find出来的文件送给rm删除...
weixin_35554771的博客
04-29 1851
【问题】想要批量删除一些文件,知道linux中有管道和重定向,所以打算利用管道或重定向去批量删除。结果是不行:Administrator@PC-20130611GART /cygdrive/e/Dev_Root/docbook/dev/books$ find . -name build.xml./arm_vs_mips/src/build.xml./binutils_intro/src/build...
Linux 笔记 SELinux 常见操作与介绍
最新发布
matrixlzp的博客
12-29 1039
SELinux(Security-Enhanced Linux)是 Linux 操作系统中的一种安全模块,旨在提供更细粒度的访问控制。它最初由美国国家安全局(NSA)开发,目的是增强 Linux 系统的安全性。SELinux 通过强制访问控制(MAC, Mandatory Access Control)来补充传统的自主访问控制(DAC, Discretionary Access Control),从而限制进程和用户只能访问它们明确被允许访问的资源。
Ubuntu14.04/CentOS6.5使用samba共享目录时遇到的问题
Linux
06-25 1359
参考链接: https://www.cnblogs.com/mchina/archive/2012/12/18/2816717.html 重启samba服务器命令: /etc/init.d/nmb restart /etc/init.d/smb restart samba服务器配置文件: /etc/smaba/smb.conf 先参考上面链接,安装配置samba服务器。有问题的话...
大数据之Linux 基础
Sunshine.wz的博客
10-10 1820
Linux 基础 Linux 开始 虚拟机 Linux 准备工作 Linux 安装步骤 选择稍后安装 网络类型选择 NAT 修改最大磁盘大小(这里最大磁盘大小指给虚拟机分配的,但不真正使用不是这么多) 注意: Linux 版本根据自己的Linux 版本选择。列如:我这用的是 CentOS-6.5-x86_64-minimal.iso, 所以选择 Linux 版本时选择时 Cen...
nacos安装后启动报错
尘风yf的博客
03-20 1993
which: no javac in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/opt/install/redis6/bin:/root/bin) readlink: 缺少操作数 Try 'readlink --help' for more information. dirname: 缺少操作数 Try 'dirname --help' for more information.
chcon部分关联无法应用于文件
jshagw的博客
11-13 6356
移动mysql目录时,最后执行 chcon -R -t mysqld_db_t /opt/mysql 提示 “chcon部分关联无法应用于文件” chcon: can't apply partial context to unlabeled file `localhost.err'   原因是selinux状态为disabled 这两个都是控制权限了,在selinux打开的情况下,通过...
Linux基础课件SELinux运行模式共10页.pdf
11-19
学习SELinux时,了解如何编写和应用自定义策略也是很重要的。这可能涉及使用`setenforce`命令切换运行模式,以及使用`semodule`工具加载自定义策略模块。对于新手来说,理解和适应SELinux可能会有一定难度,但随着...
selinux 学习笔记,帮助学习seLinux 使用
11-08
学习SELinux不仅有助于保护系统免受攻击,还能帮助你理解现代操作系统安全架构的深层原理。随着技术的发展,SELinux在网络安全中的重要性日益凸显,了解和掌握SELinux是每一个系统管理员和安全专业人员的必备技能。
linux-安全管理-SELinux / AppArmor
Flying_Fish_roe的博客
09-17 1717
SELinux 是由美国国家安全局(NSA)开发的一个Linux内核安全模块,它通过强制访问控制(MAC)策略限制进程对系统资源(文件、端口、设备等)的访问。与传统的自主访问控制(DAC,Discretionary Access Control)不同,SELinux允许系统管理员定义更加严格的访问控制规则,即使是具有超级用户权限的进程也会受到限制。AppArmor 是另一个强制访问控制系统,它提供了与SELinux类似的安全功能,但其策略和使用方式更加简单。
Linux学习——7_SElinux
weixin_73921499的博客
12-11 1299
SELinux是Security-Enhanced Linux的缩写,意思是安全强化的linuxSELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用传统的访问控制在我们开启权限后,系统进程可以直接访问当我们对权限设置不严谨时,这种访问方式就是系统的安全漏洞在开启SElinux后会对进程本身部署安全上下文会对文件部署安全上下文会对服务使用端口进行限制会对程序本身的不安全功能做限制。
linux缺少文件操作数,linux 文件的atime,ctime,mtime查看与修改
weixin_33304613的博客
04-29 2746
查看ls -a默认显示的是修改时间ls -c / --time=status / --time=ctime显示的是状态修改时间(即权限修改时间)ls -u / --time=use / --time=access / --time=atime表示的是文件访问时间修改touch: 缺少了文件操作数请尝试执行“touch --help”来获取更多信息。[wei@localhost ~]$ touch ...
CentOS 下设置 SELinux 安全上下文
weixin_34343689的博客
11-08 831
作用: chcon 命令用来改变 SELinux 文件属性即修改文件的安全上下文 用法: chcon [ 选项 ] CONTEXT 文件 选项: -R:递归改变文件和目录的上下文。 --reference:从源文件向目标文件复制安全上下文 -h, --no-dereference:影响目标链接。 -v, --verbose:输出对每个检查文件的诊断。 -u, --user=USER:设置在目标用户...
chcon命令详解
oqqSSH的博客
09-16 1万+
chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。使用--reference选项时,把指定文件的安全环境设置为与参考文件相同。chcon命令位于/usr/bin/chcon。下面让我们详细讲解一下chcon命令的使用方法。 语法 chcon [选项]... 环境 文件... chcon [选项]... [
linux下给文件设置权限
seashoreliu的专栏
09-07 7148
今天编译cms系统时,执行linux中"ll"命令后出现“权限不足”的错误, 原来是admin用户对build文件没有读取权限: [admin@cms-1-2 build]$ ll ls: .: 权限不够 [admin@cms-1-2 build]$ ll ls: .: 权限不够 You have new mail in /var/spool/mail/root [admin@cms
linux 使用chmod 777,出现缺少操作数问题。
qq_45080128的博客
12-26 6391
原因:格式不正确 正确写法:chmod 777 ‘程序名无后缀’ 如:chmod 777 ‘pthread’
dirname: missing operand 问题解决
热门推荐
hbk320的专栏
08-27 3万+
以下问题在网上找了许久没找到资料,问题解决了,在这里贴出来。 问题错误信息: /bin/bash: /usr/local/cross_compiler/linux-devkit/sysroots/i686-arago-linux/usr/bin/arm-linux-gnueabihf-gcc: command not found dirname: missing operand Try `
linux命令chcon,chcon命令的使用
weixin_29705519的博客
04-30 307
http://blog.163.com/lin_jianying/blog/static/1309355862012149519935/chcon命令:修改对象(文件)的安全上下文。比如:用户:角色:类型:安全级别。命令格式:Chcon [OPTIONS…] CONTEXT FILES…..Chcon [OPTIONS…] –reference=PEF_FILES FILES…说明:CONTEXT...
Linux基础课程:SELinux运行模式详解
通过本课件的学习,读者将能够熟练掌握SELinux的高级配置和故障排除技巧,为Linux系统的安全运行提供保障。" 【补充说明】:本资源摘要信息仅提供了SELinux运行模式的基本介绍,具体的课件内容未包含在内。在实际的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值