Linux历史上最杰出的新安全子系统:内核级加强型防火墙SElinux

最新推荐文章于 2023-12-06 11:10:19 发布
最新推荐文章于 2023-12-06 11:10:19 发布
阅读量287 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yyh_linux_note/article/details/89929508
本文介绍了SELinux这一内核级加强型防火墙,它是Linux历史上杰出的新安全子系统,提供强制访问控制。文中探讨了SELinux开启和关闭对安全上下文的影响,给出解决安全上下文不一致的临时和永久办法,还说明了设置为enforcing时上传文件的方法及相关日志情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#################

selinux

#################

内核级加强型防火墙

要做selinux的东西,首先得带大家稍微了解一下selinux有多么厉害吧

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。***对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,***它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。 [1]
大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。
SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。

* selinux的开关



> vim /etc/sysconfig/selinux
>     SELINUX=enforcing	              ##selinux开启,级别为强制
>     SELINUX=permissive	          ##selinux开启,级别为警告
>     SELINUX=disabled	              ##selinux关闭,
>     setenforce 0|1		          ##更改selinux当前的级别0警告1标示强制
>     getenforce 		              ##查看selinux的状态

注意:当selinux从关到开,或者从开到关,需要重启系统

1.现在先看看在selinux开启和关闭的情况下对安全上下文的影响

在selinux开启的时候,可以看到当将一个文件移到/var/ftp/pub时,查看不到那个文件
在这里插入图片描述
在这里插入图片描述

当seliux关闭的时候,就可以看得到

在这里插入图片描述
在这里插入图片描述
其实yyh这个文件确实已经到pub底下了,只是安全上下文不匹配,它不显示
在这里插入图片描述

2.怎样解决安全上下文不一致的问题?

当selinux对文件有影响时,是因为文件上面的标签不一样

因此当selinux开启时在默认发布目录下就不能看到刚才mv的文件

因为/var/ftp/这个默认发布目录与mv进去的文件标签不一样

查看文件或者目录的标签:ls -Zd /var/ftp/

在这里插入图片描述
办法一:
#临时更改适用于更改文件

chcon -t 安全上下文  文件
chcon -t public_content_t 文件

将mv进去的文件的标签改成与发布目录一致的就可以了,但是chcon这个更改标签的方式是临时的,selinux重启之后就不会再生效
selinux这个插件被禁用又被启用

如下图所示,当我将aaa的标签改了之后,再将aaa移动到pub下,就可以看到了,因为安全上下文匹配成功了

在这里插入图片描述

办法二
#永久更改文件安全上下文

semanage fcontext -l | grep /var/ftp
 查看系统已经为默认发布目录设置的标签

在这里插入图片描述

semanage fcontext -a -t public_context_t '/ftpdir(/.*)?' 
将自己建立的发布目录加上标签(目录里面的内容)


semanage fcontext -l | grep /ftpdir
 这此查看就可以看到我们自己新建的ftp发布目录标签也是public了

在这里插入图片描述

restorecon -RvvF /ftpdir/ 对目标进行刷新

在这里插入图片描述

ls -Zd /ftpdir/ 
查看标签

不管selinux是开启还是关闭,永久设置都会生效
这个实验主要的目的就是永久将mv进去的由default改为public以及自己新建的默认发布目录改为public

3.使selinux设置为enforceing仍然可以上传文件

系统服务上设定sebool开关
getsebool -a | grep ftp 查看匿名用户的能力
sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值
*selinux的bool值的设定
sebool值是控制服务功能开关
getsebool  | grep 服务名称
setsebool -P bool值  on |off

在这里插入图片描述

getsebool  | grep  ftp 
setsebool -P(永久设置) ftpd_anon_write 1(on)让匿名用户可以上传

在这里插入图片描述

chcon -t public_content _rw_t /var/ftp/pub/ 让匿名用户具有读写这个目录的权力(必须设置)

在这里插入图片描述

还要结合之前在配置文件里写的东西和给予pub的权限等,这样,即使在selinux为enforcing的情况下仍然能够上传文件

在这里插入图片描述

4.与selinux相关的两个日志

/var/log/messages 为系统日志,提供一些解决方案 ,需要安装服务才能提供解决方案
/var/audit/audit.log 为selinux真正的日志,不提供解决方案
yum search selinux 
yum install setroubleshoot-server.x86_64 -y

在这里插入图片描述

当把setroubleshoot-server.x86_64 删除之后,假如出现报错,那么在/var/log/messages
下看不到任何解决方案,但是如果setroubleshoot-server.x86_64
存在的话,假如出现报错,那么在/var/log/messages下就会看到解决方案

Linux历史杰出新安子系统------SELinux
ZhangPengFeiToWinner的博客
03-10 747
1.简单的了解什么是SELinux: **SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史杰出新安子系统。**NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enter...
Linux学习笔记23】selinux内核级加强型火墙的管理(安全上下文、Sebool、Seport、Setrouble)
weixin_46069582的博客
12-02 721
文章目录1. Selinux1.1 Selinux关闭状态1.2 Selinux开启状态1.3 Selinux的影响2. Selinux管理状态2.1 查看状态2.2 Selinux切换状态2.3 Selinux日志位置3. Selinux安全上下文(Content)3.1 查看安全上下文3.2 临时修改安全上下文3.3 永久修改安全上下文4. Sebool4.1 上传文件失败4.2 修改Sebool解决5. Seport(Selinux端口标签)6. SeTrouble(Selinux排错)6.1 Set
Linux内核安全子系统简介(下)
最新发布
vickynesss的博客
12-06 1137
Linux内核安全子系统介绍(下篇)
Linux内核安全子系统简介(上)
vickynesss的博客
11-13 523
Linux内核中包含了多个安全子系统,它们之间相互独立又有着千丝万缕的联系,导致人们对它们往往有一种雾里看花的感觉。在这篇文章里,我们对Linux内核中的安全子系统做一个简单的分析,算是一个入门。
FirstBlood内核级安全工具
03-21
First:FirstBlood是我的内核工具,现在实现了 (1)磁盘文件访问,进行文件的监控(FSD钩子) (2)内核态下的进程枚举(进程句柄表搜索) (3)文件强制删除(驱动下 强删文件(包括自运行和被运行)) (4)内核模块枚举 (5)多线程文件扫描(16线程) (6)进程自我保护(改变进程对象类型), (7)加入了PE模块,能提取所有PE信息 (8)加入了主动防御(防御黑名单进程,注册表注入) (9)内核重载 (10)U盘查杀自启动文件 //现在的功能只有这么多,以后继续增加功能 (1)添加钩子枚举,(SSDT,SSSDT,FSD,内核钩子,对象钩子。。。) (2)增强进程自我防御能力 (3)添加钩子的恢复方法(针对性恢复)。 本程序由 Archar (朱焕俊) 制作。 现在提供部分源代码。等到工程完工 再放出部代码,相互学习。
Linuxselinux安全子系统
weixin_44828950的博客
04-22 525
linuxselinux安全子系统 什么是selinux SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统。使用SELinux技术的目的是为了让各个服务进程都受到约束,使其仅获取到本应获取的资源。 SELinux安全子系统能够从多方面监控违...
selinux内核级防火墙的初级管理
daidadeguaiguai的博客
11-13 307
1.什么是SelinuxSelinux内核级加强型防火墙,是基于内核开发出来的一种安全机制,它有力的保障了系统安全 SElinux是强制访问控制(MAC)安全系统,是linux历史杰出新安系统。 对于linux安全模块来说,SElinux的功能是面的,测试也是充分的,这是一种基于内核的安全系统。 它的作用主要有两方面,一方面是在服务上添加安全上下文(...
2.6 Linux内核级加强型火墙的管理
weixin_47133613的博客
02-22 293
文章目录1. 关闭、开启selinux的区别2. Selinux的影响3. selinux的状态及管理4. selinux安全上下文4.1 临时修改安全上下文4.2 永久修改安全上下文5. SEBOOL6. SEPORT 实验环境 初始化ftp服务 rm -fr /etc/vsftp/ dnf reinstall vsftpd -y chgrp ftp /var/ftp/pub chmod 775 /var/ftp/pub 修改12行:anonymous_enable=YES允许匿名用户上传 修改29行
SELinux(内核级加强型火墙)
qq_36275923的博客
11-13 528
文章目录SELinuxSELinux设定一.查看、更改SELiunx状态二.对安全上下文的修改三.修改程序的bool值四.SELinux报错的问题及解决方法 SELinux   SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史杰出新安子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访...
第二单元 Linux内核级加强型火墙的管理
gk12050802的博客
11-04 161
一.Selinux的功能 1.观察现象 当Selinux未开启时在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 举例: [roo...
又是你,SElinux安全子系统详解)
平庸
03-28 790
介绍了啥是SELinux,并且对其配置文件及服务进行了详细的说明。
Linux ---selinux详解
weixin_45673560的博客
11-21 2151
一、selinux的定义 1 SElinux 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是大限度地减小系统中服务进程可访问的资源(小权限原则) 2 SElinux系统的影响 SELinux插件开启时会为系统中开启的每一个程序和每一个文件加载一个标签...
Linux下的selinux
ranrancc_的博客
08-02 713
文章目录一、selinux的定义二、selinux的状态及其影响1、selinux的状态2、在selinux开启和关闭的情况下对安全上下文的影响2.1 selinux关闭的情况下2.2 selinux开启的情况下三、解决安全上下文不一致问题3.1 临时更改3.2 永久更改3.3 selinux设置为enforceing仍然可以上传文件四、 与selinux相关的两个日志 一、selinux的定...
非对称密钥工具
YYQ_QYY的专栏
05-12 403
渠道信息表 字段 变量名 类型 说明 渠道id channelId Long 生成规则:当前时间(格式:yyMMddHHmm)+ 一个较大随机整数值 渠道名称 channelName String 渠道描述 channelDesc String 私钥 privateKey String 私钥,解密方保存,用于公钥加密后内容解密 公钥 publicKey String 公钥..
JavaSE基础
@PMPWPL的博客
10-01 167
JAVA基础(eclipse) *eclipse快捷键 ALT+SHIFT+S 给变量快速创建各种构造方法 ALT+方向键 移动代码块 CTRL+SHIFT+O 快速导包 CTRL+SHIFT+X 将所选字符转化为大写 CTRL+SHIFT+Y 将所选字符转化为小写 CTRL+SHIFT+D 在debug模式里显示变量值 CTRL+S 保存 CTLR+SHIFT+F 格式化代码 CTRL+SHIFT+K 设置代码块 ALT+/ 代码提示 CTRL+/ 注释或取消注释 CTRL+D
1024 yyds
野的博客
10-24 1726
祝愿各位: 无奈时笑一笑, 无趣时笑一笑, 生活不止只有程序, 生命不息,程序不止。 编程是一个单调的生活, 所以我们需要有趣的灵魂。
linuxselinux
weixin_45674039的博客
10-29 209
什么是selinux > selinux是一种控制服务安全,是内核上面的一个插件,也叫做内核加强型火墙 SELinux(Security-Enhanced > Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史杰出新安子系统 > NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中...
selinux对文件的控制
Syx834722207的博客
04-28 411
###selinux对文件的控制### 1.vim /etc/sysconfig/selinux           enforceing      ##强制模式       permissive      ##警告模式       disabled         ##关闭模式 2.getenforce        ##显示selinux模式 getenfo
Linux内核深度解析:操作系统子系统与实践
7. **安全与权限**:Linux的用户和组概念,权限模型(如POSIX权限和ACLs),以及SELinux这样的强制访问控制。 8. **Shell**:作为用户与操作系统交互的重要工具,Shell如何解析命令,执行程序,并处理脚本。 9. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值