运维学习之selinux初级管理

selinux的初级管理

1.什么是selinux

selinux,内核级加强型防火墙(内核上的一个插件)

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。

SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。

大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。

SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制

2.如何管理selinux级别

selinux开启或者关闭)

vim /etc/sysconfig/selinux

selinux=disabled ##关闭状态

selinux=Enforcing ##强制状态

selinux=Permissive ##警告状态

getenforce ##查看selinux当前状态

当selinux开启时

setenforce 0|1 ##更改selinux运行级别

3.如何更改文件安全上下文

(临时更改)

chcon -t 安全上下文 文件

chcon -t public_content_t /publicftp -R

更改匿名用户家目录,新建的westos目录下的3个文件的上下文为default,在selinux开启的情况下,匿名登陆没法看见文件,当更改为public_content_t时,登陆可以看见文件

永久更改)

semanage fcontext -l ##列出内核安全上下文列表内容

semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?‘#更改安全上下文

restorecon -FvvR /publicftp/ #刷新安全上下文即时生效

更改成功

4.如何控制selinux对服务功能的开关

getsebool -a | grep 服务名称

getsebool -a | grep ftp

setsebool -P 功能bool值 on|off

setsebool -P ftpd_anon_write on

因为开启了selinux服务,所以用户不能上传文件,开启家目录可执行动作的选项,就可以上传文件!

匿名用户上传文件(需开启高权限)

5.监控selinux的错误信息

setroubleshoot-server

执行一个selinux不允许的操作,然后查看系统日志,可以获得解决问题的办法,再按提示执行,可更改错误

时间: 2024-11-13 15:43:59

运维学习之selinux初级管理的相关文章

运维学习之系统虚拟机管理

15.系统虚拟机管理 1.安装 #!/bin/bash ##命令运行环境的指定 virt-install \ ##安装虚拟机 --name $1 \ ##虚拟机名称指定,$1表示脚本后的第一串字符 --ram 1000 \ ##内存 --file /var/lib/libvirt/images/$1.img \ ##硬盘文件 --file-size 8 \ ##硬盘文件大小 --cdrom /var/ftp/pub/iso/rhel-server-7.1-x86_64-dvd.iso &  ##

运维学习路线2

运维学习需要分为四个阶段: Linux初级入门 > Linux中级进阶 > Linux高级提升 > 资深细分方向进阶 第一阶段:初级入门 初级阶段需要把linux学习路线搞清楚,任何学习都是循序渐进的,所以学linux也是需要有一定的路线,个人建议学习的路线如下: Linux基础知识.基本命令(起源.组成.常用命令如cp.ls.file.mkdir等常见操作命令) Linux用户及权限基础 Linux系统进程管理进阶 Linux高效文本.文件处理命令(vim.grep.sed.awk.f

运维学习第三弹

运维学习--命令 cd: cd[-L|-P][dir] pwd  查看目录  oldpwd cd DIR 将工作目录切换到DIR所代表的目录 cd:将工作目录切换至当前用户的家目录 cd -:将工作目录切换至上一次的工作目录:在两个目录之间互相切换 cd ~:将工作目录切换至家目录 cd~USERNAME : 将工作目录切换至指定用户"username'的家目录,仅限于root用户使用 pwd[-LP] pwd  type pwd  (查看内部命令) pwd -p 切换根本路径 ls ls:查看

运维学习之网络管理&IP设置&网关、DNS、DHCP的设置

11.管理网络 1.ip基础知识 1.ipv4 2进制32位-----10进制 172.25.0.10/255.255.255.0 172.25.0.10:ip地址 255.255.255.0:子网掩码 子网掩码255位对应的ip位为网络位 子网掩码0对应的ip位为主机位 2.配置ip <<图形化>> 1.图形界面 nm-connection-editor 2.文本化图形 nmtui <<命令>> ifconfig 网卡 ip netmask ##临时设定

DayDayUP_Linux运维学习_oracle11g安装教程

1. 安装环境介绍 系统环境 虚拟机测试机 系统版本 linux redhat 6.5 x64 软件版本 linux.x64_oracle_11gR2 系统内存 2G 系统存储 40G 主机名 vmdbs ip地址 192.168.1.189 192.168.128.189 笔者当时安装操作系统时所选的安装包 1.1 Base System Base System 安装 8 个套件 Base System > Base Base System > Client management tools

运维学习

运维学习第二弹: 一.centOS虚拟机的基本指令: 二.三大开源协定: 三.软件的一般四类文件: 二进制文件:可执行文件 windows=.exe(execute) /msi linux:ELF 头文件/库文件(用于应用程序和内核的链接): windows:dll(dynamic linked Library) linux:so(shared object): ko(lernel object): a 帮助文件:整个程序的使用说明书 配置文件:变量  就是这个文件自己的名字 任何文件的路径都由

运维学习之文件&目录权限的设定等

文件权限 1.文件属性的查看 ls -l filename -|rw-r--r--.|1| root| root|   46 |Oct  1 05:03 |filename - ---------  -  ----  ----    --  ------------  -------- 1    2     3    4      5      6      7             8 1."-":文件类型 -               ##普通文件 d            

运维学习之加密和解密

运维学习之加密与解密: 众所周知,在网络的世界里不存在绝对的安全性.各种钓鱼网站,病毒等等危害着我们的网 络环境.所以,作为一个运维人员,在我们利用网络进行通信时,保证通信的机密性.完整性.可用性是必要的. 我们的日常生活中有以下三点威胁网络安全的行为: 1.威胁机密性的攻击行为,它的途径是窃听.嗅探.扫描和通信量分析 2.威胁完整性的攻击行为,它的途径是更改.伪装.重放.否认 3.威胁可用性的攻击行为,它的途径是拒绝服务 为应对以上问题,我们在技术和服务两方面提出了解决方案: 从技术上我们使用

运维学习第四弹

运维学习第四弹之shell(bash): 一. hell可以翻译成壳,大多指能够对内部核心起到保护作用的一种装置或结构.在计算机科学中shell的实际意义为操作者提供的.能够通过系统调用或库调用使用整个计算机资源的访问接口. 它既是一种命令解析器又是一种程序设计语言.作为命令解析器,它可以解释和执行用户输入的命令,也可以自动地解释和执行预先编写好并保存在某个文本文件中的一系列的命令:作为程序设计语言,shell特别定义了各种变量和参数,并提供了许多在高级语言中才具有的控制结构,包括循环和条件分支