selinux学习理解

ID:39468130

大小:27.50 KB

页数:7页

时间:2019-07-04

selinux学习理解_第1页
selinux学习理解_第2页
selinux学习理解_第3页
selinux学习理解_第4页
selinux学习理解_第5页
资源描述:

《selinux学习理解》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、selinux学习理解一、什么是selinux。selinux全称是securityenhancedlinux,安全强化linux,是MAC(mandatoryaccesscontrol,强制访问控制系统)的一个实现,目的在于明确的知名某个程序可以访问哪些资源(程序,端口)。它的用户在于防范0—DAY攻击(利用尚未公开的漏洞实现攻击),所以它不是防火墙和ACL的替代品,功能也不重复。举例来说,系统上Apache被发现存在一个漏洞,使得远程用户可以访问系统上的敏感文件(比如/etc/passwd),且修复该漏洞的补丁尚未发布,此

2、时selinux可以起到弥补漏洞的方法。因为/etc/passwd不具有apache的访问标签,所以Apache对于/etc/passwd的访问会被selinux阻止。相比其他强制访问系统,selinux有如下访问优势:1.控制策略是可以查询,而非程序比可见的。2.可以热更改策略,无需或停止服务。3.可以从程序初始化、继承、执行三个方面,使用策略进行控制。4.控制范围广,包括:文件系统,目录,文件,文件启动描述符,端口,消息接口,网络接口。二、了解和配置selinux。1、获取当前selinux运行状态getenforce:可

3、能返回三种结果Enforcing:记录报警且阻止可疑行为。Permissive:记录告警,不阻止可以行为。Disable:关闭selinux。默认是Enforcing2、改变selinux状态。setenforce1

4、01代表Enforcing,0代表Permissive。此时不需要重启系统就可以实现。要永久改变selinxu的状态,在/etc/sysconfig/selinux实现。当从disable切换到enforcing或permissive时,要重启系统并为整个文件系统重新创建安全标签。3、selinux运行策略。配置

5、文件/etc/sysconfig/seilnux还包含了selinux运行策略的信息,通过改变SELINUXTYPE值实现,该值有两种可能:targeted代表仅针对预制的几种网络服务和访问请求都要使用selinux。strict代表所有网络服务和访问请求要经过selinux。默认为targeted,包含了几乎所有的网络服务的selinux策略配置,已经默认安装并且无需更改可以直接使用。4、coreutils工具的selinux模式常见的属于coreutils的工具如psls等,可以通增加-Z的方式查看selinux的信息。

6、例:ls-Z/etc/查看目录ps-auxZ查看进程三、Apacheselinux配置实例1、让Apcche可以访问位于非默认目录下的网站。首先,用semanagefcontext-l

7、grep‘/var/www/’得到默认的selinux上下文,/var/www(/.*)?allfilessystem_u:object_r:httpd_sys_content_t:s0,可以看到apache只能访问有第三段object_r:httpd_sys_content_t标签的文件,那么就可以给你想的访问的非默认目录增加这个标签。分为两

8、步:为目录增加标签,semanagefcontext-a-thttpd_sys_content_t‘/www’,然后用新标签为已有的文件进行标注,restorecon-Rv/www,就可以使用这个目录下的网站了。restorecon起到的是恢复文件默认标签的作用。如从其它目录复制文件到/var/www/html时,无法访问,因为标签不同,这时就要用restorecon将文件的标签恢复成Apache可以访问的标签。例:2、让apache侦听非标准端口。默认情况下Apache只侦听80和443两个端口,若要想让它侦听指定的888端

9、口的话,会在apache启动时报错。这时候可以在/var/log/messages中查看,3、允许Apache访问创建的私人网站。若希望在~/pulib_html下创建私人网站,需要在Apache策略中允许该操作,使用setseboolhttpd_enable_homedirs1来改变selinux的bool值,getsebool -a得到现在系统中的bool值,默认情况下,重启后上述操作无效,若想永久生效,加-P参数,setsebool-P httpd_enable_homedirs1四、其它manhttpd_selinux

10、s相看相关服务的手册setroubleshoot开头的包,audit开头的包安装上面的包后,报警也可能在/var/log/auditd/audit.log中看日志,找到需要执行的代码,可以解决selinux不能访问的问题linux中ftp使用selinux的实例:一、Seli

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
正文描述:

《selinux学习理解》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、selinux学习理解一、什么是selinux。selinux全称是securityenhancedlinux,安全强化linux,是MAC(mandatoryaccesscontrol,强制访问控制系统)的一个实现,目的在于明确的知名某个程序可以访问哪些资源(程序,端口)。它的用户在于防范0—DAY攻击(利用尚未公开的漏洞实现攻击),所以它不是防火墙和ACL的替代品,功能也不重复。举例来说,系统上Apache被发现存在一个漏洞,使得远程用户可以访问系统上的敏感文件(比如/etc/passwd),且修复该漏洞的补丁尚未发布,此

2、时selinux可以起到弥补漏洞的方法。因为/etc/passwd不具有apache的访问标签,所以Apache对于/etc/passwd的访问会被selinux阻止。相比其他强制访问系统,selinux有如下访问优势:1.控制策略是可以查询,而非程序比可见的。2.可以热更改策略,无需或停止服务。3.可以从程序初始化、继承、执行三个方面,使用策略进行控制。4.控制范围广,包括:文件系统,目录,文件,文件启动描述符,端口,消息接口,网络接口。二、了解和配置selinux。1、获取当前selinux运行状态getenforce:可

3、能返回三种结果Enforcing:记录报警且阻止可疑行为。Permissive:记录告警,不阻止可以行为。Disable:关闭selinux。默认是Enforcing2、改变selinux状态。setenforce1

4、01代表Enforcing,0代表Permissive。此时不需要重启系统就可以实现。要永久改变selinxu的状态,在/etc/sysconfig/selinux实现。当从disable切换到enforcing或permissive时,要重启系统并为整个文件系统重新创建安全标签。3、selinux运行策略。配置

5、文件/etc/sysconfig/seilnux还包含了selinux运行策略的信息,通过改变SELINUXTYPE值实现,该值有两种可能:targeted代表仅针对预制的几种网络服务和访问请求都要使用selinux。strict代表所有网络服务和访问请求要经过selinux。默认为targeted,包含了几乎所有的网络服务的selinux策略配置,已经默认安装并且无需更改可以直接使用。4、coreutils工具的selinux模式常见的属于coreutils的工具如psls等,可以通增加-Z的方式查看selinux的信息。

6、例:ls-Z/etc/查看目录ps-auxZ查看进程三、Apacheselinux配置实例1、让Apcche可以访问位于非默认目录下的网站。首先,用semanagefcontext-l

7、grep‘/var/www/’得到默认的selinux上下文,/var/www(/.*)?allfilessystem_u:object_r:httpd_sys_content_t:s0,可以看到apache只能访问有第三段object_r:httpd_sys_content_t标签的文件,那么就可以给你想的访问的非默认目录增加这个标签。分为两

8、步:为目录增加标签,semanagefcontext-a-thttpd_sys_content_t‘/www’,然后用新标签为已有的文件进行标注,restorecon-Rv/www,就可以使用这个目录下的网站了。restorecon起到的是恢复文件默认标签的作用。如从其它目录复制文件到/var/www/html时,无法访问,因为标签不同,这时就要用restorecon将文件的标签恢复成Apache可以访问的标签。例:2、让apache侦听非标准端口。默认情况下Apache只侦听80和443两个端口,若要想让它侦听指定的888端

9、口的话,会在apache启动时报错。这时候可以在/var/log/messages中查看,3、允许Apache访问创建的私人网站。若希望在~/pulib_html下创建私人网站,需要在Apache策略中允许该操作,使用setseboolhttpd_enable_homedirs1来改变selinux的bool值,getsebool -a得到现在系统中的bool值,默认情况下,重启后上述操作无效,若想永久生效,加-P参数,setsebool-P httpd_enable_homedirs1四、其它manhttpd_selinux

10、s相看相关服务的手册setroubleshoot开头的包,audit开头的包安装上面的包后,报警也可能在/var/log/auditd/audit.log中看日志,找到需要执行的代码,可以解决selinux不能访问的问题linux中ftp使用selinux的实例:一、Seli

显示全部收起
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
关闭