一.启用SELinux保护 目标: 本例要求为虚拟机 server0.desktop0 配置SELinux: 确保 SELinux 处于强制启用模式 在每次重新开机后,此设置必须仍然有效 方案: SELinux,Security-Enhanced Linux:是由美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制,针对用户.进程.文档标记安全属性并实现保护性限制. SELinux安全体系直接集成在Linux内核中,包括三种运行模式: disabled:彻底禁用,内核在启动时不加载SE…

                                                           启用SELinux保护 案例1:启用SELinux保护 1.1问题 本例要求为虚拟机server0.desktop0配置SELinux: 确保SELinux处于强制启用模式 在每次重新开机后,此设置必须仍然有效 1.2方案 SELinux,Security-Enhanced Linux:是由美国NSA国家安全局提供的一套基于内核的增强的强制安全保护机制,针对用户.进程.文档标记安…

一些Linux默认都是启用SeLinux的,在安装操作系统的时候我们可以选择开启或者关闭SeLinux,但是在安装完系统之后又如何开启与关闭呢? 在/etc/sysconf下有一个SeLinux文件,使用vi打开,更改其中的SELINUX项的值就可以了. SELINUX=disable  禁用SeLinux SELINUX=enforcing  使用SeLinux [root@localhost sysconfig]# vim selinux # This file controls the s…

http://www.bitscn.com/os/linux/200904/158771.html 安全 Linux 容器实现指南 轻量级容器 又称作 Virtual Private Servers (VPS) 或 Jails,它们是经常用于限制不可信应用程序或用户的工具.但是最近构造的轻量级容器没有提供充分的安全保证.使用 SELinux 或 Smack 策略增强这些容器之后,就可以在 Linux中实现更加安全的容器.本文介绍如何创建受 Linux 安全模块保护的更加安全的容器.SELinux…

导读 如果你在之前的Linux生涯中都禁用或忽略了SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的Linux桌面或服务器之下的SELinux系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性. 回到Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制.这个系统就是Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为Linux内核子系统引入了一个健壮的强制控制访问M…

原文网址:http://bbs.16rd.com/thread-54766-1-1.html [Description] linux SELinux 分成Enforce 以及 Permissive 两种模式,如何进行设置与确认当前SELinux模式? [Keyword] android, SELinux, Enforce, Permissive [Solution] 在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 来增强android 的安全保护.在EN…

原文链接:http://blog.csdn.net/huangbiao86/article/details/6641893 1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件.大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora.Red Hat Enterprise Linux (RHEL).Debi…

SELinux:Secure Enhanced Linux,是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Courporation)开发的LInux的一个强制控制的安全模块.2000年以GNU GPL发布,Linux内核2.6版本后继承在内核中. 访问控制类别: DAC:Discretionary Access Control 自由访问控制 MAC:Mandatory Access Control 强制访问控制 D…

学习一个服务的过程: 1.此服务器的概述:名字,功能,特点,端口号 2.安装 3.配置文件的位置 4.服务启动关闭脚本,查看端口 5.此服务的使用方法 6.修改配置文件,实战举例 7.排错(从下到上,从内到外) ------------------------------------- iptables概述 netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成. netfilter/iptables 关系: netfilt…

selinux详解 selinux 的全称是Security Enhance Linux,就是安全加强的Linux.在Selinux之前root账号能够任意的访问所有文档和服务 : 如果某个文件设为777,那么任何用户都可以访问甚至删除. 这种方式称为DAC(主动访问机制),很不安全. DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制.Root有最高权限无法限制.r,w,x权限划分太粗糙.无法针对不同的进程实…

本文转载自:http://blog.csdn.net/lei1217/article/details/48377109 [Description]linux SELinux 分成Enforce 以及 Permissive 两种模式,如何进行设置与确认当前SELinux模式? [Keyword]android, SELinux, Enforce, Permissive [Solution]在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 来增强android…

安全.坚固.遵从性.策略是末世中系统管理员的四骑士.除了我们的日常任务之外 —— 监控.备份.实施.调优.更新等等 —— 我们还需要负责我们的系统安全.即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统.这看起来像<碟中碟>中 Ethan Hunt 的工作一样. 面对这种窘境,一些系统管理员决定去服用蓝色小药丸,因为他们认为他们永远也不会知道如生命.宇宙.以及其它一些大问题的答案.而我们都知道,它的答案就是这个 42. 按<银河系漫游指南>的精神,这里是关于在你的系统上管理和…

一.SELinux安全防护 目标: 本案例要求熟悉SELinux防护机制的开关及策略配置,完成以下任务: 将Linux服务器的SELinux设为enforcing强制模式 在SELinux启用状态下,调整策略打开vsftpd服务的匿名上传访问 从/root目录下移动一个包文件到FTP下载目录,调整策略使其能够被下载 步骤: 步骤一:将Linux服务器的SELinux设为enforcing强制模式 1)固定配置:修改/etc/selinux/config文件 确认或修改SELINUX为enforc…

原文地址:Web Application Security Checklist 原文作者:Teo Selenius(已授权) 译者 & 校正:HelloGitHub-小熊熊 & 卤蛋 对于开发者而言,网络安全的重要性不言而喻.任何一处代码错误.一个依赖项漏洞或是数据库的端口暴露到公网,都会有可能直接送你上热搜. 那么,哪里可以找到详细的避雷指引呢?OWASP's top 10 清单太短了,而且它更关注的是漏洞罗列,而非对预防.相比之下,ASVS是个很好的列表,但还是满足不了实际需求. 本文…

原文地址:http://www.ibm.com/developerworks/cn/linux/l-cn-selinux-services1/index.html?ca=drs- 引言 SELinux 的安全防护措施主要集中在各种网络服务的访问控制.对于像 Apache .Samba.NFS.vsftp .MySQL.Bind dns 等服务来说,SELinux 仅仅开放了最基本的运行需求.至于连接外部网络.运行脚本.访问用户目录.共享文件等,必须经过一定的 SELinux 策略调整才能充分发挥…

SElinux: 是Linux的一个强制访问控制的安全模块 SElinux的相关概念: 对象:文件.目录.进程.端口等 主体:进程称为主体 SElinux将所有的文件都赋予一个type类型的标签,所有的进程也赋予一个domain类型的标签.domain标签能够执行的操作由安全策略里定义 #ubuntu没有使用selinux 安全策略:定义主体读取对象的规则数据库,定义那些行为是允许的,那些行为是拒绝的. SElinux的四种工作类型 Strict:CentOS 5,每个进程都受到selinux的…

1.查看SELinux状态:getenforce Enforcing(启动) disable(禁用) 1.禁用SELinux(重启后依然生效) 修改 vi /etc/sysconfig/selinux [root@developer ~]#  vi  /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values:…

企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flash的支持 [3]—— IE11 新的GPO设置 [4]—— IE企业模式介绍 [5]—— 不跟踪(DNT)例外 [6]—— Internet Explorer 11面向IT专业人员的常见问题 [7]—— Win7和Win8.1上的IE11功能对比 [8]—— Win7 IE8和Win7 IE11对比…

检测Selinux状态 ./usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled .getenforce ##也可以用这个命令检查 如何关闭SeLinux1.快速关闭SElinux,使用如下命令就可以: /usr/sbin/setenforce 立刻关闭 SELINUX /usr/sbin/setenforce 立刻启用 SELINUX 2.加到系统默认启动里面 echo "/usr/sbi…

1. SELinux 的起源 SELinux 是一个面向政府和行业的产品,由 NSA.Network Associates.Tresys 以及其他组织设计和开发.尽管 NSA 将其作为一个补丁集引入,但从 2.6 版开始,它就被加入到 Linux 内核中. 2. 访问控制方法 大多数操作系统使用访问控制来判断一个实体(用户或程序)是否能够访问给定资源.基于 UNIX® 的系统使用一种自主访问控制(discretionary access control,DAC)的形式.此方法通常根据对象所属的分…

Fedora关闭/禁用SELinux三种方法 在Fedora中有时候我们想关闭SELinux,因为有时候本是合法的操作也总是弹出窗口阻止我们的操作.下面介绍三种方法来关闭/禁用SELinux. 1.在安装Fedora时选择开启或者关闭SeLinux.当然相信大多数来到这里的不会是为了这种方法来到这里. 2.临时关闭SELinux.如果你仅仅只是想临时关闭,可以输入setenforce 0 3.禁用SELinux.在 /etc  下可以看到一个SELinux文件夹,进入后,里面有个config文件…

SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块.原先是在Fluke上开发的,2000年以 GNU GPL 发布. 大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora.Red Hat Enterprise Linux (RHEL)…

以堆栈溢出为代表的缓冲区溢出已成为最为普遍的安全漏洞.由此引发的安全问题比比皆是.早在 1988 年,美国康奈尔大学的计算机科学系研究生莫里斯 (Morris) 利用 UNIX fingered 程序的溢出漏洞,写了一段恶意程序并传播到其他机器上,结果造成 6000 台 Internet 上的服务器瘫痪,占当时总数的 10%.各种操作系统上出现的溢出漏洞也数不胜数.为了尽可能避免缓冲区溢出漏洞被攻击者利用,现今的编译器设计者已经开始在编译器层面上对堆栈进行保护.现在已经有了好几种编译器堆栈保护的…

SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件.网络端口等).强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力.所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复.举例来说,系统上的 Apache 被发现存在一个漏洞,使得某远程用户可以访问系统上的敏…

文章来源:http://blog.csdn.net/johnnycode/article/details/41947581 2014-12-16日 昨天晚上处理好的网络訪问连接.早晨又訪问不到了. 现象是Nginx能够获得 Respone Head信息,但Respone Body信息间歇性能够获取,Nginx配置为监听80port.iptables 和 selinux 服务停止状态. 终于的处理结论是某IDC要求80port必须申请白名单才干够訪问,由于能够间歇性获取 Respone Body…

http://blog.csdn.net/myarrow/article/details/9839377 Security-Enhanced Linux(SELinux)的历史 一个小历史将有助于帮助您理解 Security-Enhanced Linux(SELinux)——而且它本身也是段有趣的历史. 美国国家安全局(National Security Agency,NSA)长时间以来就关注大部分操作系统中受限的安全能力. 毕竟,他们的工作之一就是要确保美国国防部使用的计算机在面临没完没了的攻…

GCC 中的编译器堆栈保护技术 前几天看到的觉得不错得博客于是转发了,但这里我补充一下一些点. GCC通过栈保护选项-fstack-protector-all编译时额外添加两个符号,__stack_chk_guard和__stack_chk_fail分别是存储canary word值的地址以及检测栈溢出后的处理函数,这两个符号如果是在linux上是需要Glib支持的,但如果是像内核代码或是一些调用不同的C库像arm-none-eabi-gcc调用的newlib那么你就需要自己重新实现这两个符号,…

Linux程序常见用的一些保护机制 一.NX(Windows中的DEP) NX:No-eXecute.DEP:Data Execute Prevention 也就是数据不可执行,防止因为程序运行出现溢出而使得攻击者的shellcode可能会在数据区尝试执行的情况. gcc默认开启,选项有: gcc -o test test.c // 默认情况下,开启NX保护 gcc -z execstack -o test test.c // 禁用NX保护 gcc -z noexecstack -o test…

原文:developer.okta.com/blog/2018/07/30/10-ways-to-secure-spring-boot 译文:www.jdon.com/49653 Spring Boot大大简化了Spring应用程序的开发.它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,如果你已经习惯了Spring和大量XML配置,Spring Boot无疑是一股清新的空气. Spring Boot于2014年首次发布,自那以后发生了很多变化.安全性问题与代码质量和测试非常相似,…

默认 redis 启用了保护模式,即如果是远程链接不能进行 CRUD 等操作,如果进行该操作报错如下 (error) DENIED Redis is running in protected mode because protected mode is enabled, no bind address was specified, no authentication password is requested to clients. In this mode connections are on…