首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

SELINUX从理解到动手配置

作者:sds家的 | 来源:互联网 | 2017-11-10 04:09
文章标题:SELINUX从理解到动手配置。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类

SELinux 可以为你的系统提供较棒的安全防护。 使用者能被分配预先定义好的角色,以便他们不能存取文件或者访问他们不拥有的程序。

    Selinux的启用与关闭

    编辑/etc/selinux/conf文件

    SELINUX=enforcing(强制:违反了策略,你就无法继续操作下去)

    Permissive(有效,但不强制:违反了策略的话它让你继续操作,但是把你的违反的内容记录下来)

    Disabled(禁用)

    禁用的另一种方式:在启动的时候,也可以通过传递参数selinux给内核来控制它

    编辑/etc/grup.conf

    title Red Hat Enterprise Linux Server (2.6.18-8.el5)

    root (hd0,0)

    kernel /vmlinuz-2.6.18-8.el5 ro root=LABEL=/ rhgb quiet selinux=0

    initrd /initrd-2.6.18-8.el5.img

    SELINUXTYPE=targeted

    此参数可选项:targeted和strice。分别是targeted只控制关键网络服务,strice控制所有的服务

    查询selinux的状态

    [root@linuxas ~]# /usr/sbin/getenforce

    Enforcing

    [root@linuxas ~]# sestatus -bv

    SELinux status: enabled

    SELinuxfs mount: /selinux

    Current mode: enforcing

    Mode from config file: enforcing

    Policy version: 21

    Policy from config file: targeted

    查看selinux加载的内核模块

    [root@linuxas selinux]# semodule -l

    amavis 1.1.0

    ccs 1.0.0

    clamav 1.1.0

    dcc 1.1.0

    evolution 1.1.0

    iscsid 1.0.0

    mozilla 1.1.0

    mplayer 1.1.0

    nagios 1.1.0

    oddjob 1.0.1

    pcscd 1.0.0

    pyzor 1.1.0

    razor 1.1.0

    ricci 1.0.0

    smartmon 1.1.0

    查看selinux错误日志

    [root@linuxas selinux]# sealert -a /var/log/audit/audit.log

    SElinux的图形化管理工具

    [root@linuxas selinux]# system-config-selinux

    Selinux的基本操作

    查看文件:ls ?Z(--context)

    [root@linuxas ~]# ls -Z

    drwx------ root root root:object_r:user_home_t Desktop

    -rw------- root root system_u:object_r:user_home_t anaconda-ks.cfg

    -rw-r--r-- root root root:object_r:user_home_t install.log

    -rw-r--r-- root root root:object_r:user_home_t install.log.syslog

    [root@linuxas ~]# ls --context

    drwx------ root root root:object_r:user_home_t Desktop

    -rw------- root root system_u:object_r:user_home_t anaconda-ks.cfg

    -rw-r--r-- root root root:object_r:user_home_t install.log

    -rw-r--r-- root root root:object_r:user_home_t install.log.syslog

    查看文件系统的扩展属性:getfattr

    [root@linuxas ~]# getfattr -m. -d /etc/passwd

    getfattr: Removing leading '/' from absolute path names

    # file: etc/passwd

    security.selinux="system_u:object_r:etc_t:s0\000"

    查看的文件的 security.selinux 属性中储存了此文件的安全上下文, 所以上面例子中的上下文就是 system_ubject_r:etc_t 。

    所有运行了SE Linux的ext2/3文件系统上都有 security.selinux 这个属性。

    更改文件的扩展属性标签:chcon (不能在 /proc 文件系统上使用,就是说 /proc 文件系统不支持这种标记的改变。)

    [root@linuxas test]# ls --context aa.txt

    -rw-r--r-- root root root:object_r:user_home_t aa.txt

    [root@linuxas test]# chcon -t etc_t aa.txt

    [root@linuxas test]# ls --context aa.txt

    -rw-r--r-- root root root:object_r:etc_t aa.txt

    恢复原来的文件标签: restorecon

    [root@linuxas test]# restorecon aa.txt

    [root@linuxas test]# ls -Z aa.txt

    -rw-r--r-- root root user_u:object_r:user_home_t aa.txt

    显示当前用户的Selinux context

    [root@linuxas ~]# id -Z

    root:system_r:unconfined_t:SystemLow-SystemHigh

    runcon 使用特定的context来执行指令

    [root@linuxas ~]# runcon -t user_home_t cat /etc/passwd

    root:system_r:user_home_t:SystemLow-SystemHigh is not a valid context

    查看某种服务是否受到SELinux的保护

    [root@linuxas ~]# getsebool -a (RHEL4:inactive受保护,active不受保护;RHEL5:off受保护,on不受保护)

 


推荐阅读
  • 运维

    四载相伴,与51CTO学院共成长

    在计算机技术的学习道路上,51CTO学院以其专业性和专注度给我留下了深刻印象。从2012年接触计算机到2014年开始系统学习网络技术和安全领域,51CTO学院始终是我信赖的学习平台。 ... [详细]
  • ftp

    优化联通光猫DNS服务器设置

    优化联通光猫DNS服务器设置
    本文详细介绍了如何为联通光猫配置DNS服务器地址,以提高网络解析效率和访问体验。通过智能线路解析功能,域名解析可以根据访问者的IP来源和类型进行差异化处理,从而实现更优的网络性能。 ... [详细]
  • unix

    深入探讨JSP技术的优缺点

    本文详细分析了JSP(JavaServer Pages)技术的主要优点和缺点,帮助开发者更好地理解其适用场景及潜在挑战。JSP作为一种服务器端技术,广泛应用于Web开发中。 ... [详细]
  • shell

    Linux 系统启动故障排除指南:MBR 和 GRUB 问题

    Linux 系统启动故障排除指南:MBR 和 GRUB 问题
    本文详细介绍了 Linux 系统启动过程中常见的 MBR 扇区和 GRUB 引导程序故障及其解决方案,涵盖从备份、模拟故障到恢复的具体步骤。 ... [详细]
  • shell

    新浪笔试题

    1:有如下一段程序:packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]
  • server

    网络链路质量监控:Smokeping部署与配置

    本文详细介绍了如何在Linux系统上安装和配置Smokeping,以实现对网络链路质量的实时监控。通过详细的步骤和必要的依赖包安装,确保用户能够顺利完成部署并优化其网络性能监控。 ... [详细]
  • server

    iOS设备进入安全模式的操作指南

    当iOS设备越狱后,某些插件可能会导致系统崩溃(白苹果)。此时,可以通过进入安全模式来排查并删除有问题的插件。本文将详细介绍如何通过特定按键组合进入不加载MobileSubstrate的安全模式,并提供相关背景知识。 ... [详细]
  • port

    在Linux系统中配置并启动ActiveMQ

    在Linux系统中配置并启动ActiveMQ
    本文详细介绍了如何在Linux环境中安装和配置ActiveMQ,包括端口开放及防火墙设置。通过本文,您可以掌握完整的ActiveMQ部署流程,确保其在网络环境中正常运行。 ... [详细]
  • server

    如何配置Unturned服务器及其消息设置

    如何配置Unturned服务器及其消息设置
    本文详细介绍了Unturned服务器的配置方法和消息设置技巧,帮助用户了解并优化服务器管理。同时,提供了关于云服务资源操作记录、远程登录设置以及文件传输的相关补充信息。 ... [详细]
  • server

    通过类型和标签选择元素

    本文介绍了如何使用jQuery根据元素的类型(如复选框)和标签名(如段落)来获取DOM对象。这有助于更高效地操作网页中的特定元素。 ... [详细]
  • shell

    C++实现经典排序算法

    C++实现经典排序算法
    本文详细介绍了七种经典的排序算法及其性能分析。每种算法的平均、最坏和最好情况的时间复杂度、辅助空间需求以及稳定性都被列出,帮助读者全面了解这些排序方法的特点。 ... [详细]
  • shell

    词根词缀解析:greg、hap、helio及其他词源故事

    本文基于刘洪波老师的《英文词根词缀精讲》,深入探讨了多个重要词根词缀的起源及其相关词汇,帮助读者更好地理解和记忆英语单词。 ... [详细]
  • shell

    C++: 实现基于类的四面体体积计算

    C++: 实现基于类的四面体体积计算
    本文介绍如何使用C++编程语言,通过定义类和方法来计算由四个三维坐标点构成的四面体体积。文中详细解释了四面体体积的数学公式,并提供了两种不同的实现方式。 ... [详细]
  • shell

    360SRC安全应急响应:从漏洞提交到修复的全过程

    360SRC安全应急响应:从漏洞提交到修复的全过程
    本文详细介绍了360SRC平台处理一起关键安全事件的过程,涵盖从漏洞提交、验证、排查到最终修复的各个环节。通过这一案例,展示了360在安全应急响应方面的专业能力和严谨态度。 ... [详细]
  • 容器

    2021年G3锅炉水处理报名考试及G3锅炉水处理模拟考试

    题库来源:安全生产模拟考试一点通公众号小程序G3锅炉水处理报名考试是安全生产模拟考试一点通生成的,G3锅炉水处理证模拟考试题库是根据G3锅炉水处理最新 ... [详细]
author-avatar
sds家的
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有