Linux SElinux
来源:互联网 发布:积极优化征地制度 编辑:程序博客网 时间:2024/05/28 11:51
1.SElinux
SELinux是个经过安全强化的Linux操作系统,实际上,基本上原来的运用软件没有必要修改就能在它上面运行。真正做了特别修改的RPM包只要50 多个。像文件系统EXT3都是经过了扩展。
文件操作
1)ls命令
在命令后加个-Z 或者加 –context
[root@localhost azureus]# ls -Z
-rwxr-xr-x fu fu user_u:object_r:user_home_t azureus
-rw-r–r– fu fu user_u:object_r:user_home_t Azureus2.jar
-rw-r–r– fu fu user_u:object_r:user_home_t Azureus.png
2)chcon
更改文件的标签
[root@localhost tmp]# ls –context test.txt
-rw-r–r– root root root:object_r:staff_tmp_t test.txt
[root@python tmp]# chcon -t etc_t test.txt
[root@python tmp]# ls -lZ test.txt
-rw-r–r– root root root:object_r:etc_t test.txt
在进行这个实验的时候。要删除之前配置的文件,重新安装ftp服务
1.selinux 安全上下文访问规则
• WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文
system_u:system_r:httpd_t 标签。该上下文的重要部分
是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t
• 系统上的文件和资源也设置了 SELINUX 上下文标签 , 并
且重要的部分是 SELINUX 类型。例如 , /var/www/html 中
的文件具有类型 httpd_sys_content_t 。 /tmp 和
/var/tmp 中的文件通常具有类型 tmp_t
• Seliux 策略具有允许以 httpd_t 身份运行的进程访问标记
为 httpd_sys_content_t 的文件的规则。没有规则允许这
些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即
使常规文件权限指出应该允许这些访问
2.显示及更改 SELINUX 模式
• getenforce
• setenforce 0|1
– 0 表示 permissive # 警告
– 1 表示 enforcing # 强制
3.更改 selinux 的开机状态
• vim /etc/sysconfig/selinux ##配置文件
4.修改 selinux 安全上下文
• chcon -t
– 一次性定制安全上下文,执行 restorecon -RvvF file 刷新后还原
• semanage fcontext
– 永久更改文件的上下文
5.semanage 命令
• restorecon 是 policycoreutil 软件包的一部分
• semanage 是 policycoreutil-Python 软件包的一部分
• semanage fcontext 可用与显示或修改 restorrecon 用来
设置默认文件上下文的规则
• semanage fcontext 使用扩展正则表达式来指定路径和文
件名。fcontext 规则中最常用的扩展正则表达式是
(/.*)?, 表示随意地匹配 / 后跟任何数量的字符
• semanage fcontext 将递归地与在表达式前面列出的目录
以及该目录中的所有内容相匹配
测试结果:
6.管理 SELinux 布尔值
• SELinux 布尔值是更改 SELinux 策略行为的开关。
SELinux 布尔值是可以启用或禁用的规则。安全管理员可
以使用 SELinux 布尔值来调整策略 , 以有选择地进行调整
• 许多软件包都具有 man page *_selinux(8), 其中详细说明
了所使用的一些布尔值 ; man -k ‘_selinux’ 可以轻松地找
到这些手册
• getsebool 用于显示布尔值 , setsebool 用于修改布尔值
• setsebool -P 修改 SELinux 策略 , 以永久保留修改。
7.监控 SELinux 冲突
必须安装 setroubleshoot-server 软件包 , 才能将
SELinux 消息发送至 /var/log/message
提示:安装setroubleshoot-server 软件包 ,如果出现错误,可以去查看/var/log/message,里面有错误提示和解决方案。
• etroubleshoot-server 侦听
/var/log/audit/audit.log 中的审核信息并将简短摘
要发送至 /var/log/messages
• 摘要包括 SELinux 冲突的唯一标识符 ( UUIDs ),
可用于收集更多信息。 Sealert -l UUID 用于生成
特定事件的报告。 Sealert -a
/var/log/audit/audit.log 用于在该文件中生成所有
事件的报告
- linux---selinux
- Linux SELinux
- Linux SElinux
- linux关闭selinux
- 【Linux基础】SELinux
- Linux中的SELinux
- 禁止linux selinux
- Linux 关闭SElinux
- linux 下禁用selinux
- linux 禁用selinux
- linux关闭firewall,selinux
- Linux的selinux
- CentOS/Linux 关闭SELinux
- linux如何关闭selinux
- linux防火墙和SELinux
- Linux关闭防火墙、SELinux
- linux之SELinux
- linux Selinux管理工具semanage
- 内存对齐小解
- Mysql存储过程和函数(六)
- 背包九讲第一讲-简单的0/1背包问题有感1.1
- git合并远程分支冲突解决方式
- getWidth deprecated [获取屏幕宽度]
- Linux SElinux
- 解决.net程序com操作实例化提示"不支持的接口"
- 日期类
- Go 接口interface 的用法
- 简单的屏幕滚动切换效果
- 楼房重建 (线段树)
- Others9_无线路由器说说2.4G和5G Wi-Fi的区别
- 【用Python学习Caffe】6. 权重预设、预训练及微调
- 数据挖掘