1.基本 SELINUX 安全性概念

SELINUX(Security Enhanced Linux),意思是安全增强型Linux, 是可保护你系统安全性的额外机制

在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 (若要访问文件 ,你必须具有普通访问权限和 SELinux 访问权限。因此 , 即使以超级用户身份root 运行进程 , 根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源) 标签

2.SELINUX的状态

三种状态: <1>enfirocing? ##强制模式? <2>permissive ##警告模式? <3>disabled? ##关闭模式

【1】更改 selinux的开机状态,重启生效!

vim /etc/sysconfig/selinux? ##selinux的配置文件

SELINUX=enforcing|permissive|disabled

【2】显示及更改 SELINUX 模式

显示:getenforce
更改:setenforce 0|1
0 表示 permissive?
警告但不阻止可疑行为

1 表示 enforcing?
强制阻止可疑行为


3.SELINUX的安全上下文

selinux
安全上下文访问规则
WEB 服务器的 HTTPD 进程设置了
SELINUX 上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是第三个用冒号分隔的字段 SELINUX 类型 :
httpd_t

系统上的文件和资源也设置了 SELINUX 上下文标签 , 并且重要的部分是 SELINUX
类型。例如 , /var/www/html 中的文件具
有类型 httpd_sys_content_t . /tmp 和 /var/tmp
中的文件通常具有类型 tmp_t

Seliux 策略具有允许以 httpd_t
身份运行的进程访问标记为httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有 tmp_t 的文件 ,因此将拒绝这些访问

【1】暂时性更改文件的安全上下文

ls -Z ##查看安全上下文

chcon -t public_content_t
file##修改安全上下文

一次性定制安全上下文 , 执行 restorecon
刷新后还原

实验:

将/mnt的文件移动到/var/ftp中

查看/var/ftp的安全上下文

因为安全上下文不同,故用lftp链接时不显示文件

更改westos的安全上下文

再次连接显示文件

【2】永久性修改安全上下文

semanage fcontext -a -t public_content_t?
‘/westos(/.*)?‘ ##(/.*)?表示westos后的所有文件和目录

fcontext 规则中最常用的扩展正则表达式是 (/.*)?, 表示随意匹配 /
后跟任何数量的字符

restorecon -FvvR /westos/ ##使更改的内容生效

实验:

新建目录、文件,查看其默认上下文

修改安全上下文

在系统中搜索/westos的安全上下文

添加成功!

4.管理 SELinux
布尔值

SELinux 布尔值是更改 SELinux 策略行为的开关, 是可以启用或禁用的规则

安全管理员可以使 SELinux 布尔值来调整策略 , 以有选择地进行调整

getsebool 用于显示布尔值 , setsebool
用于修改布尔值

setsebool -P 修改 SELinux 策略 , 以永久保留修改。

实验环境:selinux状态为警告/强制,在强制状态下,客户端切换到student用户,是不可以上传文件的

设置布尔值(1开启,0关闭)

测试:可登录、上传

5.监控 SELinux 冲突

  • 必须安装 setroubleshoot-server 软件包 , 才能将 SELinux消息发送至 /var/log/messages
  • setroubleshoot-server 侦听 /var/log/audit/audit.log 中的审核信息并将简短摘要发送至
    /var/log/messages
  • 摘要包括 SELinux 冲突的唯一标识符 ( UUIDs ), 可用于收集更多信息
  • Sealert -l UUID 用于生成特定事件的报告。Sealert-a/var/log/audit/audit.log
    用于在该文件中生成所有事件的报告
  • 当setroubleshoot-server 软件包存在时,客户端如果访问失败,cat /var/log/messages日志中会有解决方案
  • 如果卸载setroubleshoot-server 软件包? 日志中没有解决方案。
/var/log/audit/audit.log selinux日志存放位置
/var/log/messages
 selinux解决方案

安装软件:

setroubleshoot-server.x86_64 : SELinux troubleshoot server

清空日志:

> /var/log/audit/audit.log

>/var/log/messages

实验:
touch /mnt/westos? ?
mv /mnt/westos?
/var/ftp/

ftp://172.25.254.205? ##看不到westos

?cat /var/log/audit/audit.log?
##查看问题出在哪里

cat /var/log/messages?
##查看解决方案

【1】方案一:修改安全上下文

【2】方案二:修改布尔值

restorecon -v
/var/ftp/*?

ftp://172.25.254.205? ##可以看到westos

6.SELINUX影响服务资源

yum install httpd ##安装Apache

vim /etc/httpd/conf/httpd.conf

修改前

修改后

systemctl restart httpd? ##服务不能重启

setenforce? 0 ?

systemctl restart httpd
##服务开启证明是selinux的问题

semanage
port -l |grep http? ##查看http的端口


semanage port -a -t? http_port_t -p tcp 6666
##添加6666端口
semanage port -l |grep http ##6666已经添加


systemctl restart
httpd ##重启成功

补充:通过以下方式查看服务端口
cat
/etc/services |grep ftp ##查看服务的端口

可以看到ftp服务的端口是21

安全强化机制——SELinux的更多相关文章

  1. SELinux深入理解

    ps:今天在远程给服务器配置https的时候,一直乱码,以前做系统的系统第一件事情,就是关闭selinx,今天忘记了,然后就悲剧了... 弄了半天才弄好,镇定思痛,好好的来看下selinux 1. 简 ...

  2. 深入理解SELinux

      目录(?)[+]   1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced Linux (SELinux)由以下两部分组 ...

  3. 关于SELinux

    出现背景以及发展历程 SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secu ...

  4. SElinux解决web网站无法访问

    SElinux解决web网站无法访问工具/原料centos 6.5系统httpd web服务器 SELinux 设置为enforcing:强制模式,代表 SELinux 运作中 方法/步骤1. 1se ...

  5. SELINUX工作原理

    SELinux工作原理 1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced Linux (SELinux)由以下两部分组成 ...

  6. SEAndroid安全机制框架分析

    我们知道,Android系统基于Linux实现. 针对传统Linux系统,NSA开发了一套安全机制SELinux,用来加强安全性. 然而.因为Android系统有着独特的用户空间执行时.因此SELin ...

  7. 为什么高手离不了Linux系统?这就是我的理由

    摘要: 通过本文来记录下我在Linux系统的学习经历,聊聊我为什么离不了Linuxx系统,同时也为那些想要尝试Linux而又有所顾忌的用户答疑解惑,下面将为你介绍我所喜欢的Linux系统,这里有一些你 ...

  8. 在centOS5.9安装asterisk

    最近一直在研究asterisk这个服务器,Asterisk 是一个开放源代码的软件VoIP PBX系统,它是一个运行在Linux环境下的纯软件实施方案.Asterisk是一种功能非常齐全的应用程序,提 ...

  9. Linux 对比 Windows 缺点

      SELinux_百度百科 https://baike.baidu.com/item/SELinux/8865268?fr=aladdin   虽然Linux比起 Windows来说,它的可靠性,稳 ...

随机推荐

  1. mysql为什么用b+树做索引

    关键字就是key的意思 一.B-Tree的性质 1.定义任意非叶子结点最多只有M个儿子,且M>2: 2.根结点的儿子数为[2, M]: 3.除根结点以外的非叶子结点的儿子数为[M/2, M]: ...

  2. tomcat与springmvc 结合 之---第18篇 StandContext容器和SpringMVC的监听器的模型

    writedby张艳涛 如何使用tomcat的监听器 public class BootStrap_ex06 { public static void main(String[] args) { Ht ...

  3. js之检测浏览器

    getBrowser () { let ua = navigator.userAgent.toLocaleLowerCase() let browserType = null if (ua.match ...

  4. JIT in MegEngine

    作者:王彪 | 旷视框架部异构计算组工程师 一.背景 什么是天元 旷视天元(MegEngine)是一个深度学习框架,它主要包含训练和推理两方面内容.训练侧一般使用 Python 搭建网络:而推理侧考虑 ...

  5. 三层交换机和VLAN

    目录 一.VLAN的概述及优势 二.VLAN的种类 三.静态VLAN的配置 四.Trunk介绍与配置 五.三层交换机转发原理 一.VLAN的概述及优势 分割广播域 物理分割 逻辑分割 VLAN的优势: ...

  6. AuthorizationFailed""The client '***' with object id '***' does not have authorization to perform action 'or the scope is invalid. If access was recently granted, please refresh your credentials

    Warning  SyncLoadBalancerFailed  4m9s (x11 over 29m)   service-controller  Error syncing load balanc ...

  7. Python中strip()、lstrip()、rstrip()函数的用法

    Python中使用函数strip().lstrip().rstrip()来剔除字符串前后的特定字符 函数语法为:str.strip(chars) 返回值是一个新的字符串,不更改源字符串 其中,参数ch ...

  8. SpringBoot - 根据目录结构自动生成路由前缀

    目录 前言 具体实现 配置文件指定基础包 自动补全路由前缀处理类 自动补全路由前缀配置类 测试类 测试 前言 本文介绍如何根据目录结构给RequestMapping添加路由前缀(覆盖RequestMa ...

  9. Vue-Router 详细解析学习

    首先还是先创项目 然后选择vue-router 再创建 再敲代码学习前,我们先了解什么是路由? 路由有一个非常重要的概念就是路由表: 本质就是一个映射表,决定数据的指向. 我们生活中常常听到的路由器, ...

  10. Bugku-misc 1-8题总结

    1.签到题 略过 2.这是一张单纯的图片 拉入winhex,在最后面有一段Uniocde编码,解码得到flag. 3.隐写 题目是隐写,binwalk打开分析 得到两个Zlib(提供数据压缩用的函式库 ...