3. 監控selinux導致的錯誤資訊
舉例:修改檔案標籤從而在apache通過檔案訪問本地目錄
背景:setenforce 1 #開啟selinux
步驟:hostname > /var/www/html/hello.html
date +%f > /mnt/scq.html
mv /mnt/scq.html /var/www/html #瀏覽器中無法訪問localhost/scq.html,可以訪問hello.html
ls -z #檢視檔案標籤
chcon -t httpd_sys_content_t scq.html #修改上下文
永久改檔案上下文生效:semanage fcontext -a -t httpd_sys_content_t /var/www/html/scq/html #a 新增 t 型別
restorecon -fvr /var/www/html/ #重新整理 f強制 r遞迴 v 檢視
再次用瀏覽器訪問scq.html:
##注意:要用http協議去訪問
舉例:限制匿名使用者lftp登陸後檔案的上傳
關閉selinux效果:
mkdir /var/ftp/upload
chown ftp /var/ftp/upload
vim /etc/vsftpd/vdftpd.conf #開啟anon_upload許可權
systemctl restart vsftpd
setenforce 0
lftp localhost
cd upload
put /etc/passwd #可以上傳
開啟selinux效果:
setenforce 1
setsebool -p ftpd_anon_write on #開啟寫許可權
setsebool -p ftpd_full_access on #開啟全部許可權
lftp localhost
cd upload
put /etc/fstab #可以上傳
若不設定服務許可權開啟則會報錯553 could not create file.
『>』 /var/log/messages #實驗效果,清空日誌,真實情況不清空
『>』 /var/log/audit/audit.log #清空認證日誌,警告日誌資訊檔案
分析提供解決方案日誌:/var/log/messages
分析提供解決方案的軟體:setroubleshoot-server
舉例:selinux開啟下修改apache預設埠
背景:apache 登陸ip預設埠80
步驟:在 /etc/httpd/conf/httpd.conf下修改修改埠:listen 6666
systemctl restart httpd #重啟報錯
less /var/log/messages #檢視解決方案 g到最後一行
semanage port -l | grep http #檢視6666埠是否設定
systemctl restart httpd #重啟不報錯
在瀏覽器中登陸 http:172.25.254.x:6666 #可以登陸
SELinux 核心級加強型火牆
selinux security enhanced linux 是美國 局 nsa 對於強制訪問控制的實現,是 linux歷史上最傑出的新安全子系統。nsa是在linux社群的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下,程序只能訪問那些在他的任務中所需要檔案。selinux特點 1.m...
Linux 核心級加強型火牆
檢視 getenforce 開啟後給每個檔案和程式新增標籤 安全上下文 匹配則可以訪問 檔案是功能標籤 程式是加了波爾開關 修改狀態檔案 狀態 enforcing 強制 拒絕訪問,有警告資訊 permissive 警告 可以訪問,有警告資訊 disabled 關閉 切換 setenforce 0 切...
linux中核心級加強型火牆管理
安全上下文的作用 特定安全上下文的程式只能訪問特定安全上下文的檔案,否則訪問失敗,會被selinux拒絕 selinux的狀態及管理 開啟vim etc selinux config selinux disabled selinux關閉 selinux enforcing selinux開機設定為強...