当前位置： 首页 > news >正文

网站运行环境,指数型基金,西安做网站的工资怎么样啊,网站建设方案产业一、什么是selinux? SELinux#xff0c;Security Enhanced Linux 的缩写#xff0c;也就是安全强化的 Linux#xff0c;是由美国国家安全局#xff08;NSA#xff09;联合其他安全机构#xff08;比如 SCC 公司#xff09;共同开发的#xff0c;旨在增强传统 Linux 操…一、什么是selinux? SELinuxSecurity Enhanced Linux 的缩写也就是安全强化的 Linux是由美国国家安全局NSA联合其他安全机构比如 SCC 公司共同开发的旨在增强传统 Linux 操作系统的安全性解决传统 Linux 系统中自主访问控制DAC系统中的各种权限问题如 root 权限过高等。 下面举例了解下selinux:

1. selinux关闭时 移动/mnt/里面的文件到ftp的默认发布目录中可以被访问ls -Z 访问文件属性时显示匿名用户可以上传文件前提是配置文件设定权限 首先查看selinux的状态 [rootftp ~]# getenforce Disabled 在/mnt/建立新文件并且移动他到ftp的默认发布目录/var/ftp,当匿名用户登录时可以访问该文件 [rootftp ~]# touch /mnt/westodfile1 [rootftp ~]# mv /mnt/westodfile1 /var/ftp/ [rootftp ]# lftp 172.25.254.100 lftp 172.25.254.100: ls drwxrwxr-x 3 0 50 49 Aug 02 05:51 pub -rw-r–r– 1 0 0 0 Aug 02 13:05 westodfile1 lftp 172.25.254.100:/ ls -Z 访问文件属性时显示 [rootftp ~]# ls -Z /var/ftp ? pub ? westodfile1 [rootftp ~]#
   在配置文件中设定匿名用户可以上传文件 重启服务后匿名用户上传文件成功 [rootftp ~]# vim /etc/vsftpd/vsftpd.conf [rootftp ~]# systemctl restart vsftpd.service [rootftp ]# lftp 172.25.254.100 lftp 172.25.254.100: ls drwxrwxr-x 3 0 50 49 Aug 02 05:51 pub -rw-r–r– 1 0 0 0 Aug 02 13:05 westodfile1 lftp 172.25.254.100:/ cd pub/ lftp 172.25.254.100:/pub ls -rw-r–r– 1 1000 50 16043547 Aug 02 05:53 bigfile -rw-r–r– 1 1000 50 2761 Aug 02 05:02 passwd drwx—— 2 14 50 6 Aug 01 11:30 westos lftp 172.25.254.100:/pub put /etc/inittab 490 bytes transferred lftp 172.25.254.100:/pub ls -rw-r–r– 1 1000 50 16043547 Aug 02 05:53 bigfile -rw-r–r– 1 1000 50 490 Aug 02 13:12 inittab -rw-r–r– 1 1000 50 2761 Aug 02 05:02 passwd drwx—— 2 14 50 6 Aug 01 11:30 westos lftp 172.25.254.100:/pub quit2. selinu开启时 vim  /etc/sysconfig/selinux : 修改selinux状态重复以上实验比较结果 首先修改selinux状态修改完成一定要重启系统否则不识别重启比较慢等待一下。。。 [rootftp ~]# vim /etc/sysconfig/selinux [rootftp ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system.

   SELINUX can take one of these three values:

   enforcing - SELinux security policy is enforced.

   permissive - SELinux prints warnings instead of enforcing.

   disabled - No SELinux policy is loaded.

   SELINUXenforcing

   SELINUXTYPE can take one of these three values:

   targeted - Targeted processes are protected,

   minimum - Modification of targeted policy. Only selected processes are protected.

   mls - Multi Level Security protection.

   SELINUXTYPEtargeted[rootftp ~]# reboot重启成功后再次重复上面的实验首先查看selinux的状态此时时开启的 [rootftp ~]# getenforce Enforcing再次新建文件移动到ftp的默认发布目录看看可以访问玛发现不能访问了 [rootftp ~]# touch /mnt/westosfile2 [rootftp ~]# mv /mnt/westosfile2 /var/ftp/ [rootftp ]# lftp 172.25.254.100 lftp 172.25.254.100: ls drwxrwxr-x 3 0 50 64 Aug 02 13:12 pub -rw-r–r– 1 0 0 0 Aug 02 13:05 westodfile1 lftp 172.25.254.100:/ quit利用ls -Z 访问文件属性显示。。。 [rootftp ~]# ls -Z /var/ftp system_u:object_r:public_content_t:s0 pub system_u:object_r:public_content_t:s0 westodfile1unconfined_u:object_r:mnt_t:s0 westosfile2 [rootftp ~]# 此时配置文件允许匿名用户上传文件 但是匿名用户却无法上传文件 [rootftp ]# lftp 172.25.254.100 lftp 172.25.254.100: ls drwxrwxr-x 3 0 50 64 Aug 02 13:12 pub -rw-r–r– 1 0 0 0 Aug 02 13:05 westodfile1 lftp 172.25.254.100:/ cd pub/ lftp 172.25.254.100:/pub ls -rw-r–r– 1 1000 50 16043547 Aug 02 05:53 bigfile -rw-r–r– 1 1000 50 490 Aug 02 13:12 inittab -rw-r–r– 1 1000 50 2761 Aug 02 05:02 passwd drwx—— 2 14 50 6 Aug 01 11:30 westos lftp 172.25.254.100:/pub put /etc/group put: /etc/group: Access failed: 553 Could not create file. (group) lftp 172.25.254.100:/pub quit [rootftp ~]# 以上对比可知selinux可以提高系统的安全性 二、selinux的状态及管理 1.selinux的状态 enforcing selinux开机设定为强制状态此状态为selinux开启permissive selinux开机设定为警告状态此状态为selinux开启disabledselinux关闭 enforcing 和 permissive状态都是开启状态有什么不同呢 enforcing:  不符合条件一定不能被允许,并会收到警告信息 permissive: 不符合条件被允许,并会收到警告信息

2. selinux状态的查看 getenforcecat /etc/sysconfig/delinuxcat  /etc/selinux/config [rootftp ~]# geten getenforce getent
   [rootftp ~]# getenforce Enforcing [rootftp ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system.

   SELINUX can take one of these three values:

   enforcing - SELinux security policy is enforced.

   permissive - SELinux prints warnings instead of enforcing.

   disabled - No SELinux policy is loaded.

   SELINUXenforcing

   SELINUXTYPE can take one of these three values:

   targeted - Targeted processes are protected,

   minimum - Modification of targeted policy. Only selected processes are protected.

   mls - Multi Level Security protection.

   SELINUXTYPEtargeted3.selinux状态的转换 1开启和关闭状态之间的转换 selinux从开启状态变为关闭状态或者从关闭状态转换为开启状态必须要重启 2开启状态之间的转换 enforceing 和 permissive状态之间的转换可以用 setenforce 0/1 进行转换setenforce  0 : 转换到permissive状态setenforce 1 :转换到enforcing状态 [rootftp ~]# getenforce Enforcing [rootftp ~]# setenforce 0 [rootftp ~]# getenforce Permissive [rootftp ~]# setenforce 1 [rootftp ~]# getenforce Enforcing [rootftp ~]#
   (3)开机时想转换状态 当正在开机时想转换状态 “e 编辑输入 selinux0/1  selinux0 : disabled状态selinux1enforcing状态 初始时enforcing状态 重启后 想改变状态 [rootftp ~]# getenforce Enforcing [rootftp ~]# reboot Connection to 172.25.254.100 closed by remote host. Connection to 172.25.254.100 closed. [rootnode73 Desktop]# ssh -l root 172.25.254.100 root172.25.254.100s password: Activate the web console with: systemctl enable –now cockpit.socketThis system is not registered to Red Hat Insights. See https://cloud.redhat.com/ To register this system, run: insights-client –registerLast login: Sat Aug 5 10:30:45 2023 from 172.25.254.73 [rootftp ~]# getenforce Disabled在开机界面编辑 selinux0 可以改成enforcing状态 开启selinux状态转换成了disabled状态 三、selinux的安全上下文 SELinux 管理过程中进程是否可以正确地访问文件资源取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签比如 SELinux 用户、角色、类型、类别等当运行 SELinux 后所有这些信息都将作为访问控制的依据。 1. selinux安全上下文的查看方法 ps:首先要开启selinux!!! ls   -Z 查看文件的安全上下文ls  -Zd  查看目录的安全上下文ps   auxZ  :查看进程的安全上下文 [rootftp ~]# ls -Zsystem_u:object_r:admin_home_t:s0 anaconda-ks.cfg system_u:object_r:admin_home_t:s0 passwd unconfined_u:object_r:admin_home_t:s0 Desktop unconfined_u:object_r:admin_home_t:s0 Pictures unconfined_u:object_r:admin_home_t:s0 Documents unconfined_u:object_r:admin_home_t:s0 Public unconfined_u:object_r:admin_home_t:s0 Downloads unconfined_u:object_r:admin_home_t:s0 Templates unconfined_u:object_r:admin_home_t:s0 fstab unconfined_u:object_r:admin_home_t:s0 Videossystem_u:object_r:admin_home_t:s0 initial-setup-ks.cfg unconfined_u:object_r:admin_home_t:s0 westos.cfg unconfined_u:object_r:admin_home_t:s0 Music [rootftp ~]# ls -Zd /var/www/html/ system_u:object_r:httpd_sys_content_t:s0 /var/www/html/ [rootftp ~]# ps aux -Z LABEL USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND system_u:system_r:init_t:s0 root 1 0.4 0.7 181872 13996 ? Ss 18:06 0:01 /usr/lib/systemd/systemd –switched-root –syst system_u:system_r:kernel_t:s0 root 2 0.0 0.0 0 0 ? S 18:06 0:00 [kthreadd] system_u:system_r:kernel_t:s0 root 3 0.0 0.0 0 0 ? I 18:06 0:00 [rcu_gp] system_u:system_r:kernel_t:s0 root 4 0.0 0.0 0 0 ? I 18:06 0:00 [rcu_par_gp] system_u:system_r:kernel_t:s0 root 5 0.0 0.0 0 0 ? I 18:06 0:00 [kworker/0:0-events_power_efficient] system_u:system_r:kernel_t:s0 root 6 0.0 0.0 0 0 ? I 18:06 0:00 [kworker/0:0H-kblockd] system_u:system_r:kernel_t:s0 root 7 0.0 0.0 0 0 ? I 18:06 0:00 [kworker/u4:0-events_unbound]2. 安全上下文的组成 只要进程和文件的安全上下文匹配该进程就可以访问该文件资源。 安全上下文看起来比较复杂它使用“”分隔为 4 个字段其实共有 5 个字段只是最后一个“类别”字段是可选的 system_u :  object_r : httpd_sys_content_t :  s0   /var/www/html/身份字段    角色    :        类型                      灵敏度  [类别]   (1)身份字段–user 用于标识该数据被哪个身份所拥有相当于权限中的用户身份。常见的身份类型有以下 3 种 1.- root表示安全上下文的身份是 root。2.- system_u表示系统用户身份其中“_u”代表 user。3.- user_u表示与一般用户账号相关的身份其中“_u”代表 user。 2角色–role 主要用来表示此数据是进程还是文件或目录。常见的角色有以下两种 1.- object_r代表该数据是文件或目录这里的“_r”代表 role。2.- system_r代表该数据是进程这里的“_r”代表 role。 3类型–type 类型字段是安全上下文中最重要的字段进程是否可以访问文件主要就是看进程的安全上下文类型字段是否和文件的安全上下文类型字段相匹配如果匹配则可以访问 ps:类型字段在文件或目录的安全上下文中被称作类型type但是在进程的安全上下文中被称作域domain。也就是说在主体Subject的安全上下文中这个字段被称为域在目标Object的安全上下文中这个字段被称为类型。域和类型需要匹配进程的类型要和文件的类型相匹配才能正确访问。 apache 进程的域是 httpd_t/var/www/html/ 目录的类型是 httpd_sys_content_t这个主体的安全上下文类型经过策略规则的比对是和目标的安全上下文类型匹配的所以 apache 进程可以访问 /var/www/html/ 目录。 (4) 灵敏度 灵敏度一般是用 s0、s1、s2 来命名的数字代表灵敏度的分级。数值越大代表灵敏度越高。 (5)类别 类别字段不是必须有的

3. selinux安全上下文的修改 chcon临时修改semanage 永久修改 1临时修改–chcon chcon    [选项]     文件或目录 -R 递归当前目录和目录下的所有子文件同时设置 -t 修改安全上下文的类型字段最常用 -u 修改安全上下文的身份字段 -r 修改安全上下文的角色字段
   ——————————————————-实验———————————————————————- 在apache的默认发布目录中 写入test page [rootftp html]# echo test page /var/www/html/index.html上下文匹配的情况下打开浏览器可以看见以下界面 此时修改默认目录的安全上下文与httpd进程的上下文不再匹配 [rootftp html]# ps auxZ | grep httpd system_u:system_r:httpd_t:s0 root 1078 0.0 0.6 281404 11464 ? Ss 18:06 0:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1200 0.0 0.4 294140 8524 ? S 18:06 0:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1201 0.0 1.0 1941840 20412 ? Sl 18:06 0:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1205 0.0 0.6 1810712 12244 ? Sl 18:06 0:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1206 0.0 0.8 1810712 16332 ? Sl 18:06 0:00 /usr/sbin/httpd -DFOREGROUND unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 2550 0.0 0.0 12108 1100 pts/0 S 18:36 0:00 grep –colorauto httpd [rootftp html]# chcon -t var_t /var/www/html/index.html [rootftp html]# ls -Z /var/www/html/index.html unconfined_u:object_r:var_t:s0 /var/www/html/index.html [rootftp html]# 再次打浏览器进入默认发布目录发现无法访问 这是因为 安全上下文不匹配当然我们可以通过 chcon 命令修改回来就可以修复。不过我们还有一个命令 restorecon这个命令的作用就是把文件的安全上下文恢复成默认的安全上下文。SELinux 的安全上下文设定非常完善所以使用 restorecon 命令就可以修复安全上下文不匹配所引起的问题。 2恢复默认上下文–restorecon restorecon    [选项】     文件或目录 -R递归.当前目录和目录下所有的子文件同时恢复 -V把恢复过程显示到屏幕上
   恢复目录的默认上下文 [rootftp html]# restorecon -Rv /var/www/html/index.html Relabeled /var/www/html/index.html from unconfined_u:object_r:var_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0 [rootftp html]# ls -Z /var/www/html/index.html unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/index.html再次通过浏览器访问再次访问成功因为此时安全上下文已经匹配 (3) 修改默认安全上下文–semanage semanage  fcontent   -l  : 查看内核的安全上下文semanage   fcontext   -a   -t    public_content_t    /westosdir(/.)?  : 修改目录的安全上下文restorecon   -RvvF   /westosdir/ 刷新修改目录当前的安全上下文semanage   fcontext   -d   -t    public_content_t    /westosdir(/.)?  : 删除目录的安全上下文 —————————————————————-实验——————————————————– [rootftp ~]# semanage fcontext -l查看内核的安全上下文建立目录westosdir 修改默认上下文 修改后还没有改变因为只是修改了默认上下文没有修改目前的安全上下文 因此要刷新修改目前的安全上下文 修改完成后默认上下文已经改变再次查看内核的安全上下文/wesosdir存在 如果不想要这个上下文可以删除删除后依旧要刷新 rootftp ~]# semanage fcontext -d -t public_content_t /westosdir(/.)? [rootftp ~]# ls -Zd /westosdir/ system_u:object_r:public_content_t:s0 /westosdir/ [rootftp ~]# restorecon -RvvF /westosdir/ Relabeled /westosdir from system_u:object_r:public_content_t:s0 to system_u:object_r:default_t:s0 [rootftp ~]# ls -Zd /westosdir/ system_u:object_r:default_t:s0 /westosdir/查看内核的安全上下文已经不存在! 四、SEBOOL sebool  是selinux能对服务功能能够添加的开关 getsebool     -a |  grep  ftp 查看ftp的bool值setsebool    -P    ftpd_anon_write    on更改bool值 —————————————实验——————————————————- ftp默认配置目录中允许匿名用户上传文件 但实际不允许匿名用户上传文件 [rootftp ]# lftp 172.25.254.100 lftp 172.25.254.100: ls drwxrwxr-x 3 0 50 64 Aug 02 13:12 pub -rw-r–r– 1 0 0 0 Aug 02 13:05 westodfile1 -rw-r–r– 1 0 0 0 Aug 02 13:23 westosfile2 lftp 172.25.254.100:/ cd pub/ lftp 172.25.254.100:/pub ls -rw-r–r– 1 1000 50 16043547 Aug 02 05:53 bigfile -rw-r–r– 1 1000 50 490 Aug 02 13:12 inittab -rw-r–r– 1 1000 50 2761 Aug 02 05:02 passwd drwx—— 2 14 50 6 Aug 01 11:30 westos lftp 172.25.254.100:/pub put /etc/group put: /etc/group: Access failed: 553 Could not create file. (group) lftp 172.25.254.100:/pub quit这是因为selinux开启此时查看ftp的sebool值发现匿名用户上传功能关闭 [rootftp ~]# getenforce Enforcing [rootftp ~]# getsebool -a | grep ftp ftpd_anon_write – off ftpd_connect_all_unreserved – off ftpd_connect_db – off ftpd_full_access – off ftpd_use_cifs – off ftpd_use_fusefs – off ftpd_use_nfs – off ftpd_use_passive_mode – off httpd_can_connect_ftp – off httpd_enable_ftp_server – off tftp_anon_write – off tftp_home_dir – off更改sebool值 [rootftp ~]# setsebool -P ftpd_anon_write on [rootftp ~]# getsebool -a | grep ftp ftpd_anon_write – on ftpd_connect_all_unreserved – off ftpd_connect_db – off ftpd_full_access – off ftpd_use_cifs – off ftpd_use_fusefs – off ftpd_use_nfs – off ftpd_use_passive_mode – off httpd_can_connect_ftp – off httpd_enable_ftp_server – off tftp_anon_write – off tftp_home_dir – off再次匿名上传文件成功 pre[rootftp ~]# lftp 172.25.254.100 lftp 172.25.254.100:~gt; ls drwxrwxr-x 3 0 50 64 Aug 02 13:12 font color#0087FFpub/font -rw-r–r– 1 0 0 0 Aug 02 13:05 westodfile1 -rw-r–r– 1 0 0 0 Aug 02 13:23 westosfile2 lftp 172.25.254.100:/gt; cd pub/ lftp 172.25.254.100:/pubgt; ls -rw-r–r– 1 1000 50 16043547 Aug 02 05:53 bigfile -rw-r–r– 1 1000 50 490 Aug 02 13:12 inittab -rw-r–r– 1 1000 50 2761 Aug 02 05:02 passwd drwx—— 2 14 50 6 Aug 01 11:30 font color#0087FFwestos/font lftp 172.25.254.100:/pubgt; put /etc/group 1032 bytes transferred lftp 172.25.254.100:/pubgt; quit /pre 五、SEPORT SEPORT是selinux对于服务端口的管理 semanage port -l | grep ssh查看服务可用端口semanage   port    -a    -t    ssh_port_t    -p   tcp   2222添加服务端口semanage   port    -d    -t    ssh_port_t    -p   tcp   2222:删除服务端口 ———————————————————实验—————————————————— 首先设定selinux状态为permissive,然后修改ssh服务的默认端口号重启服务成功 [rootftp ~]# getenforce Enforcing [rootftp ~]# setenforce 0 [rootftp ~]# getenforce Permissive [rootftp ~]# vim /etc/ssh/sshd_config [rootftp ~]# systemctl restart sshd [rootftp ~]# netstat -antlupe | grep sshd tcp 0 0 0.0.0.0:2222 0.0.0.0: LISTEN 0 37626 2320/sshd
   tcp 0 0 172.25.254.100:22 172.25.254.73:59242 ESTABLISHED 0 34599 2152/sshd: root [pr tcp6 0 0 :::2222 :::* LISTEN 0 37628 2320/sshd
   查看端口号也可以使用此时修改selinux的状态为enforcing重启服务失败 [rootftp ~]# setenforce 1 [rootftp ~]# getenforce Enforcing [rootftp ~]# systemctl restart sshd Job for sshd.service failed because the control process exited with error code. See systemctl status sshd.service and journalctl -xe for details. [rootftp ~]# netstat -antlupe | grep sshd tcp 0 0 172.25.254.100:22 172.25.254.73:59242 ESTABLISHED 0 34599 2152/sshd: root [pr
   如果在enforcing状态下想使用指定的端口号怎么办可以使用semanage命添加指定端口! [rootftp ~]# netstat -antlupe | grep sshd tcp 0 0 172.25.254.100:22 172.25.254.73:59242 ESTABLISHED 0 34599 2152/sshd: root [pr [rootftp ~]# semanage port -a -t ssh_port_t -p tcp 2222 [rootftp ~]# semanage -l | grep ssh semanage: error: the following arguments are required: subcommand [rootftp ~]# semanage port -l | grep ssh ssh_port_t tcp 2222, 22 [rootftp ~]# netstat -antlupe | grep sshd tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN 0 40835 2436/sshd
   tcp 0 0 172.25.254.100:22 172.25.254.73:59242 ESTABLISHED 0 34599 2152/sshd: root [pr tcp6 0 0 :::2222 :::* LISTEN 0 40837 2436/sshd
   [rootftp ~]# systemctl restart sshd添加成功重启服务成功当然也可删除该端口删除后2222端口不存在 [rootftp ~]# semanage port -d -t ssh_port_t -p tcp 2222 [rootftp ~]# semanage port -l | grep ssh ssh_port_t tcp 22六、selinux的排错解决方案 /var/log/audit/audit.log  selinux警告信息/var/log/messagesselinux问题解决方案setroubleshoot-server 此软件功能是采集警告信息并分析得到解决方案存放到message中 ——————————————————–实验—————————————————————— 首先建立新文件移动该文件到ftp的发布目录 [rootftp ~]# touch /mnt/westostest [rootftp ~]# mv /mnt/westostest /var/ftp mv: overwrite /var/ftp/westostest? y接着进入发布目录发现没有看见该文件 [rootftp ]# lftp 172.25.254.100 lftp 172.25.254.100: ls drwxrwxr-x 3 0 50 77 Aug 05 12:04 pub -rw-r–r– 1 0 0 0 Aug 02 13:05 westodfile1 -rw-r–r– 1 0 0 0 Aug 02 13:23 westosfile2 lftp 172.25.254.100:/ quit进入/var/log/audit/audit.log 查看警告信息 但是没有解决方案进入/var/log/messages查看解决方案 运行该命令发现,有两个命令可以解决 选择一个运行: ps:/westostest 前面加上/var/ftp [rootftp ~]# /sbin/restorecon -v /var/ftp/westostest Relabeled /var/ftp/westostest from unconfined_u:object_r:mnt_t:s0 to unconfined_u:object_r:public_content_t:s0此时再次查看ftp默认目录发现wesetostest文件已经出现 宗上selinux有排错功能是因为有软件 如果没有解决方案可能是没有安装这个软件