SElinux

titxixYY2024-11-27 1:05

SELinux 是Security-Enhanced Linux的缩写,意思是安全强化的linux

SELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用传统的访问控制在我们开启权限后,系统进程可以直接访问

当我们对权限设置不严谨时,这种访问方式就是系统的安全漏洞

在开启SElinux后

会对进程本身部署安全上下文

会对文件部署安全上下文

会对服务使用端口进行限制

会对程序本身的不安全功能做限制

[root@localhost ~]# grubby --update-kernel ALL --args selinux=1

[root@localhost ~]# reboot

[root@localhost ~]# dnf install vsftpd -y

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

[root@localhost ~]# systemctl enable --now vsftpd

[root@localhost ~]# dnf install lftp -y

[root@localhost ~]# touch /mnt/file

[root@localhost ~]# mv /mnt/file /var/ftp/

[root@localhost ~]# cd /var/ftp/

[root@localhost ftp]# ls

file pub

[root@localhost ftp]# ls -Z

unconfined_u:object_r:mnt_t:s0 file system_u:object_r:public_content_t:s0 pub

[root@localhost ftp]# chcon -t public_content_t file

Selinux 重启的标识文件 文件存在 在重启系统后会重新初始化

[root@localhost ftp]# touch /mnt/leefile

[root@localhost ftp]# ls -Z /mnt/leefile

unconfined_u:object_r:mnt_t:s0 /mnt/leefile

[root@localhost mnt]# semanage fcontext -a -t public_content_t '/mnt/leefile(/.*)?'

[root@localhost mnt]# semanage fcontext -l | grep leefile

永久设置安全上下文

[root@localhost mnt]# ls -Z /mnt/leefile

unconfined_u:object_r:mnt_t:s0 /mnt/leefile

[root@localhost mnt]# restorecon -RvvF /mnt/leefile

Relabeled /mnt/leefile from unconfined_u:object_r:mnt_t:s0 to system_u:object_r:public_content_t:s0

selinux 对linux服务的影响

服务的功能影响

在系统SElinux开启后会为服务添加新的功能开关,我们把这个开关叫做sebool

[root@localhost mnt]# setsebool -P ftpd_anon_write on 修改sebool值

[root@localhost mnt]# getsebool -a | grep ftp 查看sebool

ftpd_anon_write --> on

ftpd_connect_all_unreserved --> off

ftpd_connect_db --> off

ftpd_full_access --> off

ftpd_use_cifs --> off

ftpd_use_fusefs --> off

ftpd_use_nfs --> off

ftpd_use_passive_mode --> off

httpd_can_connect_ftp --> off

httpd_enable_ftp_server --> off

tftp_anon_write --> off

tftp_home_dir --> off

服务的端口影响

在系统SElinux开启后会规定服务使用端口

查看服务被允许使用的端口

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t tcp 22

[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 8888

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t tcp 8888, 22

相关推荐
文牧之8 分钟前
Oracle 审计参数:AUDIT_TRAIL 和 AUDIT_SYS_OPERATIONS
运维·数据库·oracle
姓刘的哦11 分钟前
ubuntu中使用docker
linux·ubuntu·docker
代码程序猿RIP20 分钟前
【Linux】(1)—进程概念-⑤进程调度
linux·运维
MrWang.32 分钟前
Ubuntu中SSH服务器安装使用
服务器·ubuntu·ssh
_lizhiqiang35 分钟前
联想拯救者R9000P 网卡 Realtek 8852CE Ubuntu/Mint linux 系统睡眠后,无线网卡失效
linux·运维·ubuntu·r9000p·无线网卡·8852ce
我的golang之路果然有问题1 小时前
云服务器部署Gin+gorm 项目 demo
运维·服务器·后端·学习·golang·gin
心随_风动1 小时前
SUSE Linux 发行版全面解析:从开源先驱到企业级支柱
linux·运维·开源
christine-rr2 小时前
征文投稿:如何写一份实用的技术文档?——以软件配置为例
运维·前端·网络·数据库·软件构建
Altairr2 小时前
Docker基础(二)
运维·docker·容器
笑醉踏歌行2 小时前
NVM,Node.Js 管理工具
运维·ubuntu·node.js
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04海康Visionmaster-常见问题排查方法-启动阶段05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07CCF CSP 认证考试历年真题满分题解(所有前四题)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10【无人机】无人机通信模块,无人机图数传模块的介绍,数传,图传,图传数传一体电台,