一、使用selinux
linux訪問控制型別有2種:
自主訪問控制 資源由使用者自己管理
強制訪問控制 資源由管理員管理
1 selinux 介紹 linux擴充套件安全,是實現強制訪問控制的一種手段,由美國
****局研發的,核心是2.6及以上版本的linux操作都支援。
2 檢視當前系統selinux的狀態
[root@localhost ~]# sestatus
selinux status: enabled
selinuxfs mount: /sys/fs/selinux
selinux root directory: /etc/selinux
loaded policy name: targeted
current mode: permissive
mode from config file: enforcing
policy mls status: enabled
policy deny_unknown status: allowed
max kernel policy version: 28
[root@localhost ~]#
selinuxtype=targeted狀態
# enforcing - selinux security policy is enforced. 啟用
# permissive - selinux prints warnings instead of enforcing. 寬鬆
模式# disabled - no selinux policy is loaded. 禁用
selinux型別?
targeted 只保護常見的網路服務
mls 保護所有檔案
修改配置檔案永久設定selinux的狀態
vim /etc/sysconfig/selinux
selinux=enforcing
selinuxtype=targeted
臨時修改系統selinux的狀態
[root@localhost ~]# getenforce
permissive
臨時修改系統selinux的狀態
setenforce 0 / 1
0 1disabled < ---permissive ----->enforcing
檢視安全上下文? -z
檔案 ls -lz 檔名
目錄 ls -ldz 目錄名
程序 ps aux -z
ps aux -z | grep 程序名
安全上下文的組成?
使用者:角色:訪問型別:選項...
selinux啟用後的一般規律?
建立新檔案/目錄 : 繼承父目錄的安全上下文
移動檔案/目錄 : 保持原有安全上下文屬性不變
拷貝檔案/目錄 : 繼續目標目錄的安全上下文
修改檔案的安全上下文 ?
# chcon -r -t 訪問型別 目錄名
# chcon -t 訪問型別 檔名
恢復檔案的安全上下文?
# restorecon 檔名
# restorecon /var/www/html/x203.html
selinux布林值 ?(selinux 功能開關)
檢視selinux布林值
#getsebool -a
修改selinux布林值的狀態?
開/關#setsebool -p 選項 on/off
#setsebool -p 選項=1/0
在13伺服器上執行vsftpd服務,匿名使用者訪問ftp伺服器時可以對目
#systemctl start vsftpd
#netstat -utnalp | grep :21
#getenforce
#setsebool -p ftpd_anon_write on
#setsebool -p ftpd_full_access on
#getsebool -a | grep ftp
客戶端訪問
#yum -y install ftp
#ftp 192.168.4.13
安裝記錄selinux報錯資訊的日誌程式
[root@localhost ~]# rpm -qa | grep setroubleshoot
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-3.2.24-1.1.el7.x86_64
setroubleshoot-server-3.2.24-1.1.el7.x86_64
# 596 cat /var/log/messages | grep setroubleshoot | tail -1
# sealert -l 677ed5b2-40c3-4275-a8df-c213d23ea372
+++++++++++++++++++++++++++++++++++++
抓包與掃瞄
掃瞄nmap
#rpm -q nmap
#which nmap
#man nmap
命令格式: nmap [掃瞄型別] [選項] 《掃瞄目標 ...>
常用的掃瞄型別
-ss,tcp syn掃瞄(半開)
-st,tcp 連線掃瞄(全開)
-su,udp掃瞄
-sp,icmp掃瞄
選項-a,目標系統全面分析
-a 是乙個復合選項,相當於:
-o(os檢測)、-sv(版本檢測)、-sc(指令碼檢測)、traceroute跟蹤
-p 埠
-n 不做dns解析
在本機執行指令碼/root/check_web.sh 功能是檢查指定主機上的**服務的執行狀態。
執行指令碼時,可以指定檢查伺服器的台數 和 ip位址
並顯示被檢查的伺服器上的**服務的狀態
統計**服務沒開的伺服器的台數 併發資訊傳送給本機的郵箱帳號root@localhost
掃瞄與抓包
掃瞄方式 scan 主動探測 sniff 被動監聽 嗅探 capture 資料報捕獲 抓包 掃瞄工具 nmap 協議分析 tcpdump nmap 一款強大的網路探測工具 ping掃瞄 多埠掃瞄 tcp ip指紋校驗 基本用法 nmap target host name 預設掃瞄tcp nmap s...
掃瞄與抓包
掃瞄 nmap 語法格式 nmap 掃瞄型別 選項 掃瞄目標 掃瞄型別 ss,tcp syn掃瞄 半開 st,tcp 連線掃瞄 全開 su,udp掃瞄 sp,icmp掃瞄 a,目標系統全面分析 o os檢測 sv 版本檢測 sc 指令碼檢測 traceroute跟蹤 n 不做解析 選項 p 80 p...
掃瞄與抓包分析
一 使用nmap掃瞄來獲取指定主機 網段的相關資訊 yum y install nmap nmap 掃瞄型別 選項 掃瞄目標 常用的掃瞄型別 ss tcp syn掃瞄 半開 st tcp 連線掃瞄 全開 su udp掃瞄 sp icmp掃瞄 a 目標系統全面分析 n 不執行dns解析 注 大型掃瞄前...