linux系统的selinux管理
发布日期:2021-07-27 05:04:23
浏览次数:4
分类:技术文章
本文共 2160 字,大约阅读时间需要 7 分钟。
一、linux的selinux服务
内核级加强型防火墙 1.针对文件会对系统中每个文件添加安全上下文 2.针对进程,会对系统中的每个进程添加安全上下文 3.在系统服务上设定sebool开关 4.当进程安全上下文和文件的安全上下文不匹配时,进程无法访问此文件 5.sebool会限制服务的不安全功能,必须调整sebool值 selinux的状态enforcing | 强制状态 |
---|---|
permissive | 警告状态 |
disable | 关闭状态 |
管理selinux配置文件
vim /etc/sysconfig/selinuxsetenforce 0|1
更改selinux当前级别为0(警告) 1 表示(强制)
当selinux从关到开,或者从开到关需要重启系统 步骤: 1.保证重置server新环境 2.配置网络:vim /etc/sysconfig/network-scripts
IPADDR NETMASK BOOTPROTO=none DEVICE ONBOOT
2.给server 配置本地yum源:mkdir /westos
mount /dev/cdrom /westos
(新方法将镜像塞入光驱,将光驱挂载)
进入 /westos/
查看是否有Packages
/etc/yum.repos.d/
查看并编辑为.repo的文件 yum clean all
yum repolist
检测
yum install vsftpd lftp
开启服务: systemctl start vsftpd
开机自启: systemctl enable vsftpd
加入防火墙: firewalld-cmd --permanent --add-service=ftp
加载:firewall-cmd --reload
firewalld-cmd --list-all
4.查看selinux状态:getenforce
二、selinux的状态为enfocing时的影响 1.对新建文档的影响 lftp 172.25.254.xxx
建立文件: touch /mnt/haha
移动到ftp下: mv /mnt/haha /var/ftp/pub
进入到/var/ftp/pub
查看(看不见) 修改状态为disable
建立文件移动之后进入查看发现存在 2.对功能的影响 1.修改ftp 配置文件为匿名可以上传:anon_upload_enable=YES
重启服务修改组别:chgrp ftp /var/ftp/pub
给权限: chmod 775 /var/ftp/pub
2.开启lftp 172.25.254.xxx
进入pub 上传 put /etc/passwd
三、解决安全上下文不一致的问题1
1.查看上下文:ls -Zd /var/ftp
ls -Zd /mnt/
方法一:临时更改
1.进入/var/ftp/pub 建立新文件: touch /mnt/linux
移动:mv /mnt/linux /var/ftp/publftp
lftp lftp 172.25.254.xxx
进入到pub ls
查看发现不存在 查看 ls -Z /mnt/linux
ls -Z /var/ftp/pub
临时更改安全上下文
chcon -t public_content_t /mnt/linux
移动 mv /mnt/linux /var/ftp/pub
mkdir /ftpdir
查看 ls -Zd /ftpdir/
进入目录建立文件:touch /ftpdir/file{1..2}
方法二:永久更改: semanage fcontext -l | grep /var/ftp semanage fcontext -l | grep /ftpdir
贴标签:
semanage fcontext -a -t public_context_t ‘ftpdir(/.*)?'
查看semanage fcontext -l | grep /ftpdir
ls -Zd /ftpdir/
刷新 restorecon -Rvvf /ftpdir/
四、设置状态为enfocing时仍然可以上传文件 测试:lftp 进入到pub 查看上传put /etc/passwd失败 更改 chcon -t public_content_rw_t /var/ftp/pub
查看bool值: getsebool -a | grep ftp
chcon -t public_content _rw_t /var/ftp/pub
查看ftp匿名用户所有能干的事情的状态:
setsebool -P ftpd_anon_write on(1)
进入配置文件vim /etc/vsftpd/vsftpd.conf
设置匿名用户可以上传 重启服务 修改组别:chgrp ftp /var/ftp/pub
给权限:chmod 775 /var/ftp/publftp
进入pub 试着上传 put /etc/passwd 转载地址:https://blog.csdn.net/qq_45425035/article/details/98474539 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
能坚持,总会有不一样的收获!
[***.219.124.196]2024年09月26日 04时28分11秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
docker-daemon.json各配置详解
2019-05-27
Docker(一)使用阿里云容器镜像服务
2019-05-27
Docker(二) 基础命令
2019-05-27
Docker(三) 构建镜像
2019-05-27
Spring 全家桶注解一览
2019-05-27
JDK1.8-Stream API使用
2019-05-27
vue中的状态管理 vuex store
2019-05-27
Maven之阿里云镜像仓库配置
2019-05-27
Maven:mirror和repository 区别
2019-05-27
微服务网关 Spring Cloud Gateway
2019-05-27
SpringCloud Feign的使用方式(一)
2019-05-27
SpringCloud Feign的使用方式(二)
2019-05-27
关于Vue-cli+ElementUI项目 打包时排除Vue和ElementUI
2019-05-27
Vue 路由懒加载根据根路由合并chunk块
2019-05-27
vue中 不更新视图 四种解决方法
2019-05-27
MySQL 查看执行计划
2019-05-27
OpenGL ES 3.0(四)图元、VBO、VAO
2019-05-27
OpenGL ES 3.0(五)纹理
2019-05-27
OpenGL ES 3.0(八)实现带水印的相机预览功能
2019-05-27