五、SELinux安全防护
rwx 针对用户和组 SELinux 针对程序
targeted:定义网络程序规则 minimum:限制少量软件 mls:限制全部,没定义的全拒绝
[root@proxy ~]# vim /etc/selinux/config //SELinux固定配置文件
SELINUX=enforcing //设置SELinux为强制模式
SELINUXTYPE=targeted //保护策略为保护主要的网络服务安全
disabled则需要修改配置文件重启系统
[root@proxy ~]# getenforce //查看当前状态为警告模式
Permissive
[root@proxy ~]# setenforce 1 //设置SELinux为强制模式(临时)
[root@proxy ~]# getenforce //查看当前模式为强制模式
Enforcing
[root@proxy ~]# setenforce 0 //设置SELinux为宽松模式(临时)
[root@proxy ~]# getenforce //查看当前模式为警告模式
Permissive
搭建FTP(SELinux启用)
cp 拷贝不保留标签,继承新上级目录的标签 mv 移动保留原本的标签
[root@proxy ~]# yum –y install vsftpd //安装ftp,默认ftp共享目录为/var/ftp/
[root@proxy ~]# vim /etc/vsftpd/vsftpd.conf //修改配置文件
anonymous_enable=YES //开启匿名访问,只能下载,ftp用户就是服务端主机上useradd创建的用户
write_enable=YES
anon_upload_enable=YES //允许匿名上传文件
anon_mkdir_write_enable=YES //允许匿名上传目录
[root@proxy ~]# systemctl start vsftpd //启动服务
[root@proxy ~]# tar -czf /var/ftp/log1.tar /var/log //测试文件1
[root@proxy ~]# tar -czf log2.tar /var/log //测试文件2
[root@proxy ~]# mv log2.tar /var/ftp/ //mv 移动保留原本的标签
[root@proxy ~]# wget ftp://192.168.4.5/log1.tar //下载第一个文件,成功
[root@proxy ~]# wget ftp://192.168.4.5/log2.tar //下载第二个文件,失败(看不到文件)
[root@proxy ~]# ls -lZ /var/ftp/ //查看文件标签值
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log1.tar
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 log2.tar
[root@proxy ~]# chcon -t public_content_t /var/ftp/log2.tar.gz //为log2设置标签值
[root@proxy ~]# ls -Z /var/ftp/log2.tar
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log2.tar
[root@proxy ~]# wget ftp://192.168.4.5/log2.tar //再次下载,成功
修改标签值的3种方法:
restorecon /var/ftp/d2.tar.gz //重置文件标签为上级目录标签值
chcon --reference=/var/ftp/d1.tar.gz /var/ftp/d2.tar.gz //参照d1的标签值修改d2的标签值
chcon -t public_content_t /var/ftp/log2.tar.gz //为log2设置标签值
五、SELinux安全防护的更多相关文章
- Security基础(二):SELinux安全防护、加密与解密应用、扫描与抓包分析
一.SELinux安全防护 目标: 本案例要求熟悉SELinux防护机制的开关及策略配置,完成以下任务: 将Linux服务器的SELinux设为enforcing强制模式 在SELinux启用状态下, ...
- 四十四.Linux基本防护 用户切换与提权 SSH访问控制 SELinux安全 、SSH访问控制 SELinux安全
1.Linux基本防护措施 与用户相关的配置文件 /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/login.defs /etc/s ...
- SELinux安全系统基础
一.SELinux简介 SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制.SELin ...
- [转载]SELinux安全系统基础
链接:http://www.cnblogs.com/xiaoluo501395377/archive/2013/05/26/3100444.html 本篇随笔将记录一下学习SELinux的一些心得与体 ...
- Linux进阶之Linux破解密码、yum源配置、防火墙设置及源码包安装
一.老师语录: 所有要求笔试的公司都是垃圾公司 笔试(是考所有的涉及到的点) 要有自己的卖点.专长(给自己个标签)(至少一个) 生产环境中,尽量使用mv(mv到一个没用的目录下),少使用rm 二.防火 ...
- Nagios Apache报Internal Server Error错误的解决方法
今天配置Nagios的时候遇到了一些麻烦,前面的步骤都一切顺利,nagios运行后,可以看到nagios的主页,但点击左边的菜单时总是提示Internal Server Error错误.错误如下: v ...
- U盘中病毒,文件消失或不显示
最近非常流行的一个病毒,将电脑或者U盘里的文件全部用快捷方式替换,真实文件被隐藏起来,下面我们就具体了解下此种病毒吧,做好预防与杀毒工作. 一.病毒名称 病毒名称:移动盘同名文件夹病毒;文件夹EXE病 ...
- VB.NET视频总结——后续篇
上篇基础总结简单介绍了前几个单元的主要内容和理解的思路,这篇介绍后几个单元的内容,主要介绍了应用程式的设计与部署方面的内容. 首先,第十一单元讲的是应用程式设计的基础,主要讲解了元件的相关知识.应用程 ...
- VB.NET视频总结——基础篇
VB.NET视频是台湾讲师曹祖胜和林煌章共同带来的经典视频,视频中老师的台湾腔特别重,听起来有些别扭.而且对于计算机方面的术语翻译的与大陆有很大差异,所以刚开始看视频的时候总是进入不了状态,一头雾水的 ...
随机推荐
- Hexo 博客Next 搭建与美化主题
========================================================================================将页面部署到GitHub ...
- shell中的引号和转义
引号和转义 Bash 只有一种数据类型,就是字符串.不管用户输入什么数据,Bash 都视为字符串.因此,字符串相关的引号和转义,对 Bash 来说就非常重要. 转义 某些字符在 Bash 里面有特殊含 ...
- Method Overlonding
The method overloading is using one single method name with different parameters to created differen ...
- 基于RRCF(robust random cut forest)的时间序列异常检测流程
摘要:RRCF是亚马逊提出的一个流式异常检测算法,是对孤立森林的改进,可对时序或非时序数据进行异常检测.本文是我从事AIOps研发工作时所做的基于RRCF的时序异常检测方案. 1. 数据格式 ...
- Docker安装教程(超详细)
Docker安装教程(超详细) 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章, 关注回复「资源」, 免费领取全网最热的Java架构师学习PDF, 转载请注明出处 http:// ...
- 微言Netty:百万并发基石上的epoll之剑
说道本章标题,相信很多人知道我在暗喻石中剑这个典故,在此典故中,天命注定的亚瑟很容易的就拔出了这把石中剑,但是由于资历不被其他人认可,所以他颇费了一番周折才成为了真正意义上的英格兰全境之王,亚瑟王.说 ...
- VBO、VAO和EBO
Vertex Buffer Object 对于经历过fixed pipeline的我来讲,VBO的出现对于渲染性能提升让人记忆深刻.完了,暴露年龄了~ //immediate mode glBegin ...
- 【Mybatis源码解析】- 整体架构及原理
整体架构 version-3.5.5 在深入了解Mybatis的源码之前,我们先了解一下Mybatis的整体架构和工作原理,这样有助于我们在阅读源码过程中了解思路和流程. 核心流程 在上一遍的入门程序 ...
- (转)elasticsearch连接不到head插件解决方案
(1)elasticsearch-5x下的 config/elasticsearch.yml http.cors.enabled: true http.cors.allow-origin: & ...
- 交叉编译参数--build、host和target的区别
build.host和target 在交叉编译中比较 常见 的一些参数就是build.host和target了,正确的理解这三者的含义对于交叉编译是非常重要的,下面就此进行解释 --build=编译该 ...