码迷,mamicode.com
首页 > 系统相关 > 详细

selinux初级管理

时间:2019-11-15 09:17:59      阅读:86      评论:0      收藏:0      [点我收藏+]

标签:技术   install   哪些   情况   strong   rest   内核   content   默认   

1.什么时Selinux
Selinux,内核级加强型防火墙
SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。

Selinux三个模式
Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELinux 策略规则授予或拒绝主体对目标的访问
Permissive 宽容(警告模式)— SELinux 策略不强制执行,不实际拒绝访问,但会有拒绝信息写入日志
Disabled 禁用(关闭模式)— 完全禁用SELinux

2.如何管理selinux级别
selinux开启或者关闭
在配置文件"/etc/sysconfig/selinux"下将"SELINUX=enforcing"改为"SELINUX=disabled",因为SElinux是基于内核的安全系统,所以在设置完成之后需要重启内核,即需要重启电脑才可以生效。
vim /etc/sysconfig/selinux
selinux=disabled ##关闭状态
selinux=Enforcing ##强制状态
selinux=Permissive ##警告状态

selinux开启或者关闭
getenforce ##查看状态
当selinux开启时, "setenforce"可以设置SElinux的状态,但是只能设置0和1两种,即警告模式或者强制模式。
setenforce 0|1 ##更改selinux运行级别,

技术图片

3.如何更改文件安全上下文

查看安全上下文): SElinux会在目录和文件上留下上下文标识
ls -Z
临时更改)
chcon -t 安全上下文 文件
chcon -t public_content_t /publicftp -R

永久更改)
semanage fcontext -l ##列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?‘
restorecon -FvvR /publicftp/

4.如何控制selinux对服务功能的开关
getsebool -a | grep 服务名称
getsebool -a | grep ftp
setsebool -P 功能bool值 on|off
setsebool -P ftpd_anon_write on

SElinux对服务的影响

    SElinux是最全面的安全系统,所以会对文件和服务有一定的限制,以下服务以ftp为例。

    SElinux会在文件上做出上下文标识,例如下图所示,在"/mnt"和"/var/ftp/pub"下分别建立文件"file",输入"ls -Z"可以查看文件标识。可以看出,"/mnt/file"为"mnt_t",而"/var/ftp/pub/file"标识为"public_content_t",这样会导致将"/mnt/file"移入"/var/ftp/pub"目录下,连接lftp无法看到这个文件。

SElinux为了系统的安全,会禁止服务一些危险功能的使用,可以输入"getsebool -a | grep ftp"来查看禁止了ftp服务的哪些功能,如下图所示,输入"setsebool -P 功能 on|off"可以控制这些功能的开关。

5.监控selinux的错误信息
setroubleshoot-server

项目案例一: httpd服务共享文件安全上下文的管理
** selinux开启的情况下做实验
yum install httpd -y
systemctl start httpd
systemctl enable httpd
systemctl stop firewalld
systemctl disable firewalld
hostname > /var/www/html/hello.html
date +%F > /mnt/westos.html
mv /mnt/westos.html /var/www/html/

技术图片
现象一: 用户通过浏览器可以访问hello.html文件, 但不能访问westos.html文件。如何解决呢?因为文件的安全上下文不同导致的.
ls -Z /var/www/html/
chcon -t httpd_sys_content_t /var/www/html/westos.html # 临时修改安全上下文, 重启后失效
semanage fcontext -l # 查看系统默认的安全上下文信息
semanage fcontext -a -t httpd_sys_content_t /var/www/html/westos.html # 永久修改文件的安全上下文到系统中
restorecon -FvvR /var/www/html/ # 刷新目录, 重新读取安全上下文

技术图片技术图片

selinux初级管理

标签:技术   install   哪些   情况   strong   rest   内核   content   默认   

原文地址:https://blog.51cto.com/14569275/2450441
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!