Linux中的selinux

#1.selinux
内核级加强型防火墙
1)针对文件,会对系统中每个文件添加安全上下文(context)
2)针对进程,会对系统中的每个进程添加安全上下文(context)
3)会在系统服务上设定sebool开关
4)当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
5)sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值

#2.管理selinux
1)selinux的开关
vim /etc/sysconfig/selinux
SELINUX=enforcing ##selinux开启,并且级别为强制
SELINUX=permissive ##selinux开启,并且级别为警告
SELINUX=disabled ##selinux关闭

注意:当linux从关到开,或者从开到关,需要重启系统

2)selinux中对文件安全上下文的设定

[root@localhost ~]# touch /mnt/file
[root@localhost ~]# mv /mnt/file /var/ftp
[root@localhost ~]# touch /mnt/file1
[root@localhost ~]# cp /mnt/file1 /var/ftp/

[kiosk@foundation30 Desktop]$ lftp 172.25.254.130
lftp 172.25.254.130:~> ls ##file1是复制过来的,ftp服务的可以访问安全上下文public_content_t,file是移动过来的,ftp服务不能访问安全上文mnt_t,将他的安全上下文改为public_content_t就可以访问了,用chcon修改安全上下文public_content_t

-rw-r--r-- 1 0 0 0 Nov 11 03:49 file1
drwxr-xr-x 2 0 0 6 Aug 03 2015 pub
lftp 172.25.254.130:/> quit

[root@localhost ~]# ls /var/ftp/ -Z ##列出/var/ftp的安全上下文(由于file是移动过来的他的安全上下文还是原来的)
-rw-r--r--. root root unconfined_u:object_r:mnt_t:s0 file
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 file1
drwxr-xr-x. root root system_u:object_r:public_content_t:s0 pub
[root@localhost ~]# chcon -t public_content_t /var/ftp/file ##修改/var/ftp/file 的安全上下文为public_content_t,ftp就可以访问到了

[kiosk@foundation30 Desktop]$ lftp 172.25.254.130
lftp 172.25.254.130:~> ls
-rw-r--r-- 1 0 0 0 Nov 11 03:48 file ##fpt可以访问
-rw-r--r-- 1 0 0 0 Nov 11 03:49 file1
drwxr-xr-x 2 0 0 6 Aug 03 2015 pub
lftp 172.25.254.130:/> quit

##临时更改适用于更改文件
修改selinux的安全上下文
chcon -t 一次性定制安全上下文,执行restorecon刷新后还原 文件

[root@localhost ~]# mkdir /qq
[root@localhost ~]# touch /qq/qq{1..10}
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

[root@localhost ~]# systemctl restart vsftpd.service

[root@localhost ~]# chcon -t public_content_t /qq/
[root@localhost ~]# chcon -R -t public_content_t /qq/
reboot

内核级的安全上下文,用semanage fcontext -l查看
#永久修改更改安全上下文
semanage fcontext

[root@localhost ~]# semanage fcontext -a -t public_content_t

a:添加 t:类型
[root@localhost ~]# semanage fcontext -a -t public_content_t '/qq(/.)?' #更改此目录内核级的安全上下文
[root@localhost ~]# semanage fcontext -l | grep qq
/qq(/.
)? all files system_u:object_r:public_content_t:s0
[root@localhost ~]# ls -Zd /qq/ #列出目录的安全上下文
drwxr-xr-x. root root unconfined_u:object_r:public_content_t:s0 /qq/
[root@localhost ~]# restorecon -RvvF /qq/ #刷新安全上下文

[kiosk@foundation30 Desktop]$ lftp 172.25.254.130
lftp 172.25.254.130:~> ls
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq1
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq10
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq2
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq3
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq4
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq5
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq6
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq7
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq8
-rw-r--r-- 1 0 0 0 Nov 11 05:41 qq9
lftp 172.25.254.130:/> quit

#selinux的bool值的设定
管理selinux布尔值
selinux布尔值是更改selinux策略行为的开关。selinux是可以启用或禁用的规则。安全管理员可以使用selinux来调整策略,以有选择地进行调整。许多软件包都具有man page *_selinux(8),其中详细说明了所使用的一些布尔最值;man -k '_selinux' 可以轻松的找到这些手册
getsebool 用于显示布尔值
sebool值是控制服务功能开关,用于修改布尔值

getsebool -a | grep 服务名称

setsebool -P bool值 on|off

[root@localhost ~]# getsebool -a | grep ftp
ftp_home_dir --> off

[root@localhost ~]# setsebool -P ftp_home_dir on

p:永久
[root@localhost ~]# getenforce
Enforcing
[kiosk@foundation30 Desktop]$ lftp 172.25.254.130 -u student
Password:
lftp student@172.25.254.130:~> ls
lftp student@172.25.254.130:~> put /etc/passwd
2367 bytes transferred
lftp student@172.25.254.130:~> ls
-rw-r--r-- 1 1000 1000 2367 Nov 11 06:02 passwd
lftp student@172.25.254.130:~> quit

#selinux排错

监控selinux冲突
必须安装setroubleshoot-server软件包,才能将selliunx消息发送至/var/log/messages
setroubleshoot-server侦听/var/log/audit/audit.log中的审核信息并将简短摘要发送至/var/log/messages
/var/log/audit/audit.log 用于在该文件中生成所有事件的报告

转载于:https://blog.51cto.com/13363488/2048868

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/285040.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C语言试题176之实现归并排序算法

📃个人主页:个人主页 🔥系列专栏:C语言试题200例 💬推荐一款刷算法、笔试、面经、拿大公司offer神器👉 点击跳转进入网站 ✅作者简介:大家好,我是码莎拉蒂,CSDN博客专家(全站排名Top 50),阿里云博客专家、51CTO博客专家、华为云享专家 1、题目 题目:实现归并…

三款国产计算机日常办公体验对比

近年来,信创事业开展的如火如荼,多款CPU和操作系统均在机关单位和央企批量应用。目前,信创电脑主要应用场景是日常办公,特别是对机关单位而言,文档、表格、PPT、PDF、浏览器等软件堪称办公必备。下面,我们就…

[转]Flask --- 框架快速入门

From:http://docs.jinkan.org/docs/flask/quickstart.html Flask 用户指南:http://docs.jinkan.org/docs/flask/index.html w3cschool.cn 的 Flask 教程:https://www.w3cschool.cn/flask/ 《Flask Web开发:基于Python的Web应用…

【ArcGIS Pro微课1000例】0010:ArcGIS Pro导入ArcMap样式符号库——以国土三调样式为例

样式是用于存储符号、颜色、配色方案、标注放置和布局项目的容器。 它们可以提升地图、场景和布局的一致性和标准化程度。 您创作地图、场景和布局时所使用的符号库和颜色选取器由存储在样式中的项目填充。 ArcMap、ArcGlobe 或 ArcScene 的桌面样式不能直接在 ArcGIS Pro 中使…

Windows WMIC命令使用详解(附实例)

第一次执行WMIC命令时,Windows首先要安装WMIC,然后显示出WMIC的命令行提示符。在WMIC命令行提示符上,命令以交互的方式执行执行“wmic”命令启动WMIC命令行环境。这个命令可以在XP或 .NET Server的标准命令行解释器(cmd.exe&#…

MAC usb启动盘制作

1.从App Store 下载OS 2.磁盘工具格式化磁盘默认即可 3. 为啥截图,因为有些是不一样的,建议使用 Tab建, 未命名则是你移动U盘命名的名称。 4.完成:所有的命令完成的话, 终端界面中会出现 Erasing Disk: 0%...10%...…

【ArcGIS Pro微课1000例】0011:ArcGIS Pro范围内汇总工具的巧妙使用——以甘肃省各地区内河流总长度计算为例

文章目录 问题描述范围内汇总工具介绍# 案例实现问题描述 统计甘肃省各个地区界内河流的总长度,如下图所示。 范围内汇总工具介绍 在ArcMap中可以实现河流总长度的统计,具体操作可以参考:【ArcGIS风暴】ArcGIS获取一个省各个地区界内的河流的总长度–以甘肃省为例,在ArcG…

C语言试题177之实现二分查找算法,折半查找算法

📃个人主页:个人主页 🔥系列专栏:C语言试题200例 💬推荐一款刷算法、笔试、面经、拿大公司offer神器👉 点击跳转进入网站 ✅作者简介:大家好,我是码莎拉蒂,CSDN博客专家(全站排名Top 50),阿里云博客专家、51CTO博客专家、华为云享专家 1、题目 题目: 本实例…

力扣(leetcode)第20题有效的括号(Python)

20.有效的括号 题目链接:20.有效的括号 给定一个只包括 ‘(’,‘)’,‘{’,‘}’,‘[’,‘]’ 的字符串 s ,判断字符串是否有效。 有效字符串需满足: 左括号必须用相同类型的右括…

30分钟掌握ES6/ES2015核心内容

2019独角兽企业重金招聘Python工程师标准>>> ECMAScript 6(以下简称ES6)是JavaScript语言的下一代标准。因为当前版本的ES6是在2015年发布的,所以又称ECMAScript 2015。 也就是说,ES6就是ES2015。 虽然目前并不是所有浏…

Windows 11 22H2 22621.290 和 22622.290 推送

面向 Beta 频道的 Windows 预览体验成员,微软现已推送 Windows 11 预览版 Build 22621.290 和 22622.290。微软宣布 Beta 频道Windows 11 预览版启用全新体验,分为两组进行测试。通过两组 Windows 预览体验成员的使用数据和反馈,以更好的测试…

js数组中的find、filter、sort

准备测试数据 var data [{name:"Jackie",id: "122"}, {name:"Tony2",id: "121"}, {name:"Tony",id: "121"}]; find 查找 返回第一个符合条件的结果 data.find(user>user.id121)--结果 {name: "Tony2&q…

【ArcGIS Pro微课1000例】0012:ArcGIS Pro属性表中文乱码完美解决办法汇总

如图所示,安装完ArcGIS Pro后,由于计算机系统和应用软件字符编码的问题,导致加载矢量数据并打开属性表后,会发现中文字段出现了乱码。 属性表中文乱码: 属性表中文正常: 事实上,ArcMap中也会出现中文属性表乱码的情况。 乱码的出现会给学习和工作带来很大不便,因此本…

C语言试题178之实现分块查找算法,索引顺序查找算法

📃个人主页:个人主页 🔥系列专栏:C语言试题200例 💬推荐一款刷算法、笔试、面经、拿大公司offer神器👉 点击跳转进入网站 ✅作者简介:大家好,我是码莎拉蒂,CSDN博客专家(全站排名Top 50),阿里云博客专家、51CTO博客专家、华为云享专家 1、题目 题目: 例如,…

dubbo中的Filter顺序是如何确定的

2019独角兽企业重金招聘Python工程师标准>>> 服务提供方的过滤器被调用顺序: EchoFilter->ClassLoaderFilter->GenericFilter->ContextFilter->(这4个是在代码中指定的) ExceptionFilter-> TimeoutFilter ->MonitorFilter-> TraceF…

java提示找不到或无法加载主类

背景 默许jdk的配置大家都没有问题,执行java,javac无报错,但今天在尝试在本地起来kafka的时候,提示java 找不到或无法加载主类,然后日志中提示 Files 找不到或无法加载主类;C:\Program 分析 其实很轻松的猜…

Dapr v1.8 正式发布

Dapr是一套开源、可移植的事件驱动型运行时,允许开发人员轻松立足云端与边缘位置运行弹性、微服务、无状态以及有状态等应用程序类型。Dapr能够确保开发人员专注于编写业务逻辑,而不必分神于解决分布式系统难题,由此显著提高生产力并缩短开发…

[转]WebView长按弹出复制粘贴

ActionMode简介 ActionMode是android3.0之后出现的一种菜单选择模式 ActionMode的创建 ActionMode的使用特别的简单,主要用到两个方法,startActionMode和ActionMode.Callback(),startActionMode:开启我们的菜单,ActionMode.Cal…

深夜爆肝:万字长文3种语言实现Huffman树(强烈建议三连)

文章目录一、C语言能干大事1. C语言下Huffman树的计算过程分析2. C语言下Huffman树的编程二、C#语言也不赖1. C#下Huffman类的设计2. C#中界面设计3. 建立测试数据并显示Huffman树4. 输入任意一组数据,完成构造Huffman树三、JavaScript语言不爱听了1. JavaScript下H…

C语言试题179之实现堆排序算法

📃个人主页:个人主页 🔥系列专栏:C语言试题200例 💬推荐一款刷算法、笔试、面经、拿大公司offer神器👉 点击跳转进入网站 ✅作者简介:大家好,我是码莎拉蒂,CSDN博客专家(全站排名Top 50),阿里云博客专家、51CTO博客专家、华为云享专家 1、题目 题目: 实现堆…