SELinux的管理

最新推荐文章于 2026-05-06 11:04:39 发布
原创 最新推荐文章于 2026-05-06 11:04:39 发布 · 715 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全相关 #安全 #内核
本文介绍了SELinux的基本概念,包括其工作模式、如何更改SELinux状态、显示及更改文件的安全上下文等核心内容,并详细讲解了通过semanage命令管理和设置SELinux上下文的方法。

selinux基本概念

SELinux(Security-Enhanced Linux安全增强型 Linux)是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。
SELINUX有「disabled」「permissive」,「enforcing」3种选择。
Disabled即表示关闭。
permissive就是Selinux有效,但是即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。在我们开发策略的时候非常的有用。相当于Debug模式。即警告状态。
Enforcing就是你违反了策略,你就无法继续操作下去,即表示强制。

更改selinux状态

selinux文件 /etc/sysconfig/selinux
vim /etc/sysconfig/selinux
reboot —————————–重启
这里写图片描述

getenforce————查看selinux状态
这里写图片描述

setenforce 0|1—————改变selinux状态,0为disabled,1为enforce

当为enforcing时,不能看到mv的文件
这里写图片描述
这里写图片描述

当为permissive时,可以看到mv的文件
这里写图片描述
这里写图片描述

更改文件的标签(安全上下文)

显示 SELinux 文件上下文

ps auxZ ———显示进程的安全上下文
ls -lZ ————显示文件的安全上下文

chcon临时更改安全上下文

在enforcing状态下则可以更改文件标签来看到mv的文件
chcon -t 文件标签 文件名
这里写图片描述
这里写图片描述

永久更改安全上下文

[root@localhost ~]# systemctl status vsftpd ####查看vsftp状态
[root@localhost ~]# firewall-cmd –list-all ####查看火墙名单
[root@localhost ~]# getenforce####查看selinux状态
这里写图片描述

[root@localhost ~]# mkdir /westos
[root@localhost ~]# touch /westos/file{1..4}
[root@localhost ~]# ls /westos/
file1 file2 file3 file4
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf ####更改匿名用户的家目录为/westos
[root@localhost ~]# systemctl restart vsftpd.service ####重启vsftpd服务
这里写图片描述

这里写图片描述

[root@localhost ~]# lftp 172.25.254.160 ####匿名用户访问时看不到/westos下的文件,原因是安全上下文不同
lftp 172.25.254.160:~> ls
lftp 172.25.254.160:/> ls
lftp 172.25.254.160:/> exit
这里写图片描述
[root@localhost ~]# ps auxZ | grep vsftpd ####显示vsftpd进程的安全上下文
[root@localhost ~]# ls -lZ /var/ftp/ ####查看/var/ftp的安全上下文
[root@localhost ~]# ls -lZ /westos/ ####查看/westos/的安全上下文
这里写图片描述

semanage 命令

semanage fcontext 可用与显示或修改 restorrecon 用来
设置默认文件上下文的规则
semanage fcontext 使用扩展正则表达式来指定路径和文件名。 fcontext 规则中最常用的扩展正则表达式是
(/.*)?, 表示随意地匹配 / 后跟任何数量的字符
[root@localhost ~]# semanage fcontext -l | grep westos####显示westos默认文件上下文的规则
[root@localhost ~]# semanage fcontext -l | grep /var/ftp/
这里写图片描述
[root@localhost ~]# semanage fcontext -a -t public_content_t ‘/westos(/.*)?’ ####修改westos的默认文件安全上下文,格式为’/westos(/.*)?’,必须加’ ‘表示符号,-a表示add添加,-t表示typy安全上下文类型
[root@localhost ~]# restorecon -RvvF /westos/ ####刷新配置
这里写图片描述
验证
这里写图片描述

管理selinux布尔值

SELinux 布尔值是更改 SELinux 策略行为的开关。
SELinux 布尔值是可以启用或禁用的规则。安全管理员可以使用 SELinux 布尔值来调整策略 , 以有选择地进行调整
getsebool 用于显示布尔值 , setsebool 用于修改布尔值setsebool -P 修改 SELinux 策略 , 以永久保留修改。
semanage boolean -l 将显示布尔值是否永久

[root@localhost ~]# getsebool -a | grep ftp ####用于显示ftp的布尔值
这里写图片描述
[root@localhost ~]# setsebool -P ftp_home_dir 1 ####修改ftp_home_dir的布尔值,1|on表示开启,0|off表示关闭,-P表示永久修改
这里写图片描述

Linux之SELinux的介绍以及用法
小橙子的笔记屋
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7905
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
别再一关了之!手把手教你配置SELinux的Permissive模式,让Nginx/Apache服务顺利启动
最新发布
weixin_42552716的博客
05-06 186
本文详细介绍了如何在SELinux的Permissive模式下解决Nginx/Apache服务启动问题,避免直接禁用SELinux。通过四步诊断法和高级上下文管理技巧,帮助运维人员在不牺牲系统安全性的前提下快速定位和解决Web服务权限问题,实现从Permissive到Enforcing模式的安全过渡。
Selinux 的模式
littleyards的博客
03-26 2457
androidboot.selinux 的值是否需要开启selinux。(可以直接改is_enforcing 的值或者改/proc/cmdline 文件,当然/proc/cmdline 文件每个平台有每个平台的做法)安卓系统启动过程中, init 进程会进行selinux 的初始化。通过读取/proc/cmdline 文件, 判断。1,临时修改,使用setenforce 命令。setenforce 1 //设置为Enforcing强制模式。2,在内核中直接关闭 Selinux。3,在init中关闭。
SElinux简介
一只苟延残喘的卑微蝼蚁
01-18 1万+
Selinux是由美国国家安全局发起的,在进程层面管控文件系统资源的访问的一种安全机制。集成于内核之中......
SELinux详解
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
selinux的初级管理
Wangtuo1115的博客
11-13 2272
1.什么是Selinux Selinux内核级加强型防火墙 SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核安全系统。 2.如何管理selinux级别 selinux开启或者关闭) 在配置文件"/etc/sysconfig/selinux"下将"SELINUX=e...
selinux管理
sumin1118的博客
04-27 364
一,显示及更改selinux模式    1.selinux两种模式:        *getenforce        *setenforce  0                            ##表示permissive,警告(同意并警告)                             1                             ##表示enfo
十三、selinux管理
weoopp的博客
02-23 253
文章目录十三、selinux管理13.1 selinux介绍及功能13.2 selinux状态13.3 安全上下文13.3.1.安全上下文的临时更改13.3.2.永久更改目录或文件的安全上下文13.4 sebool13.5 setrouble 十三、selinux管理 13.1 selinux介绍及功能 内核极加强型火墙-selinux selinux关闭时: 在其他路径文件移到f...
linux中的selinux管理
qq_41582883的博客
11-22 723
selinux的状态 配置文件:/etc/sysconfig/selinux selinux开启状态:enforcing 强制状态 permissive 被动状态 selinux关闭状态:disabled 当selinux开启时,enforcing与permissive之间可以通过setenforce切换: 切换到permissive被动状态:setenforce=0 切换到enforcing强制状态:setenforce=1 sel
Selinux是什么,有啥用,如何关闭和开启
热门推荐
暗黑世界
03-01 4万+
一:是什么 它叫做“安全增强型 Linux(Security-Enhanced Linux)”,简称 SELinux,它是 Linux 的一个安全子系统 二:有什么用 其主要作用就是最大限度地减小系统中服务进程可访问的资源(根据的是最小权限原则)。避免权限过大的角色给系统带来灾难性的结果。 ...
LInux基础——SELinux
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
Linux之selinux详解
huaz_md的博客
03-10 6252
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其中u代表user。
Linux SELinux讲解
m0_49864110的博客
02-25 4624
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
Linux ---selinux详解
weixin_45673560的博客
11-21 2286
一、selinux的定义 1 SElinux 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2 SElinux对系统的影响 SELinux插件开启时会为系统中开启的每一个程序和每一个文件加载一个标签...
Linux之SELinux
qq_57289939的博客
09-07 2567
SELinux(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源例如--- 电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情。
开启或关闭SELinux
weixin_66060122的博客
10-18 4109
解决nginx转发请求异常的解决办法failed (13: Permission denied) while connecting to upstream
开启Selinux遇到的坑
小刘的博客
01-25 4036
事故起因: 由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本中,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。 开启SELinux 实例上运行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SE
新手上路:学会使用SELinux保护你的系统
weixin_43945111的博客
10-21 2076
Selinux的基本使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值