SElinux

titxixYY2024-11-27 1:05

SELinux 是Security-Enhanced Linux的缩写,意思是安全强化的linux

SELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用传统的访问控制在我们开启权限后,系统进程可以直接访问

当我们对权限设置不严谨时,这种访问方式就是系统的安全漏洞

在开启SElinux后

会对进程本身部署安全上下文

会对文件部署安全上下文

会对服务使用端口进行限制

会对程序本身的不安全功能做限制

[root@localhost ~]# grubby --update-kernel ALL --args selinux=1

[root@localhost ~]# reboot

[root@localhost ~]# dnf install vsftpd -y

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

[root@localhost ~]# systemctl enable --now vsftpd

[root@localhost ~]# dnf install lftp -y

[root@localhost ~]# touch /mnt/file

[root@localhost ~]# mv /mnt/file /var/ftp/

[root@localhost ~]# cd /var/ftp/

[root@localhost ftp]# ls

file pub

[root@localhost ftp]# ls -Z

unconfined_u:object_r:mnt_t:s0 file system_u:object_r:public_content_t:s0 pub

[root@localhost ftp]# chcon -t public_content_t file

Selinux 重启的标识文件 文件存在 在重启系统后会重新初始化

[root@localhost ftp]# touch /mnt/leefile

[root@localhost ftp]# ls -Z /mnt/leefile

unconfined_u:object_r:mnt_t:s0 /mnt/leefile

[root@localhost mnt]# semanage fcontext -a -t public_content_t '/mnt/leefile(/.*)?'

[root@localhost mnt]# semanage fcontext -l | grep leefile

永久设置安全上下文

[root@localhost mnt]# ls -Z /mnt/leefile

unconfined_u:object_r:mnt_t:s0 /mnt/leefile

[root@localhost mnt]# restorecon -RvvF /mnt/leefile

Relabeled /mnt/leefile from unconfined_u:object_r:mnt_t:s0 to system_u:object_r:public_content_t:s0

selinux 对linux服务的影响

服务的功能影响

在系统SElinux开启后会为服务添加新的功能开关,我们把这个开关叫做sebool

[root@localhost mnt]# setsebool -P ftpd_anon_write on 修改sebool值

[root@localhost mnt]# getsebool -a | grep ftp 查看sebool

ftpd_anon_write --> on

ftpd_connect_all_unreserved --> off

ftpd_connect_db --> off

ftpd_full_access --> off

ftpd_use_cifs --> off

ftpd_use_fusefs --> off

ftpd_use_nfs --> off

ftpd_use_passive_mode --> off

httpd_can_connect_ftp --> off

httpd_enable_ftp_server --> off

tftp_anon_write --> off

tftp_home_dir --> off

服务的端口影响

在系统SElinux开启后会规定服务使用端口

查看服务被允许使用的端口

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t tcp 22

[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 8888

[root@localhost ~]# semanage port -l | grep ssh

ssh_port_t tcp 8888, 22

相关推荐
我科绝伦(Huanhuan Zhou)3 分钟前
Linux 系统服务开机自启动指导手册
java·linux·服务器
hunter2062062 小时前
ubuntu终端当一段时间内没有程序运行时,自动关闭终端。
linux·chrome·ubuntu
代码讲故事3 小时前
从Windows通过XRDP远程访问和控制银河麒麟ukey v10服务器,以及多次连接后黑屏的问题
linux·运维·服务器·windows·远程连接·远程桌面·xrdp
qq_243050795 小时前
irpas:互联网路由协议攻击套件!全参数详细教程!Kali Linux入门教程!黑客渗透测试!
linux·网络·web安全·网络安全·黑客·渗透测试·系统安全
IT北辰6 小时前
Linux下 date时间应该与系统的 RTC(硬件时钟)同步
linux·运维·实时音视频
Jason Yan6 小时前
【经验分享】ARM Linux-RT内核实时系统性能评估工具
linux·arm开发·经验分享
Shootingmemory7 小时前
自动化01
运维·自动化
苹果醋37 小时前
golang 编程规范 - Effective Go 中文
java·运维·spring boot·mysql·nginx
步、步、为营7 小时前
.net无运行时发布原理
linux·服务器·.net
等一场春雨8 小时前
CentOS 安装Redis
linux·redis·centos
热门推荐
01xgboost: Why not implement distributed XGBoost on top of spark02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04ChatGPT + Stable Diffusion + 百度AI + MoviePy 实现文字生成视频,小说转视频,自媒体神器!(二)05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06密码学原理技术-第六章-introduction to pulibc-key cryptography07JS设计模式之中介者模式08Windows10安装PCL1.14.0及点云配准09优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间10leetcode - 1769. Minimum Number of Operations to Move All Balls to Each Box