网站首页 > 技术文章 正文
SELinux安全防护
1、将Linux服务器的SELinux设为enforcing强制模式
2、从/root目录下移动一个包文件到FTP下载目录,调整策略使其能够被下载
步骤一:将Linux服务器的SELinux设为enforcing强制模式
1)固定配置:修改/etc/selinux/config文件
确认或修改SELINUX为enforcing模式:
[root@proxy ~]# vim /etc/selinux/config
SELINUX=enforcing //设置SELinux为强制模式
SELINUXTYPE=targeted //保护策略为保护主要的网络服务安全
2)临时配置:使用setenforce命令
查看当前SELinux状态,如果是disabled则需要根据第1)步的配置重启系统;如果是permissive则使用setenforce命令修改为enforcing即可:
[root@proxy ~]# getenforce //查看当前状态为警告模式
Permissive
[root@proxy ~]# setenforce 1 //设置SELinux为强制模式
[root@proxy ~]# getenforce //查看当前模式为强制模式
Enforcing
[root@proxy ~]# setenforce 0 //设置SELinux为强制模式
[root@proxy ~]# getenforce //查看当前模式为警告模式
Permissive
步骤二:在SELinux启用状态下,调整策略打开vsftpd服务的匿名上传访问
1)配置一个允许匿名上传的vsftpd服务作为测试环境
[root@proxy ~]# setenforce 1
[root@proxy ~]# yum -y install vsftpd
.. ..
[root@proxy ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES //开启匿名访问
anon_upload_enable=YES //允许上传文件
anon_mkdir_write_enable=YES //允许上传目录
[root@proxy ~]# systemctl start vsftpd //启动服务
//默认Vsftpd共享目录为/var/ftp/
步骤三:从/root目录下移动2个包文件到FTP下载目录,调整文件的安全上下文
1)建立两个FTP下载用的测试文件
由root用户创建两个测试压缩包,一个直接建立到/var/ftp/目录下,另一个先在/root/下建立,然后移动至/var/ftp/目录。
//测试文件1,直接在ftp目录下创建文件
[root@proxy ~]# tar -czf /var/ftp/log1.tar /var/log
[root@proxy ~]# ls -lh /var/ftp/
-rw-r--r--. 1 root root 8M 8月 16 10:16 log1.tar
[root@proxy ~]# ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log1.tar
//测试文件2,在/root下建立,然后移动至/var/ftp目录
[root@proxy ~]# tar -czf log2.tar /var/log
[root@proxy ~]# mv log2.tar /var/ftp/
[root@proxy ~]# ls -lh /var/ftp/
-rw-r--r--. 1 root root 8M 8月 16 10:16 log2.tar
[root@proxy ~]# ls -Z /var/ftp/
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 log2.tar
3)通过FTP方式测试下载
使用wget命令分别下载这两个包文件,第二个包将会下载失败(看不到文件)。
[root@proxy ~]# wget ftp://192.168.4.5/log1.tar //下载第一个文件,成功
[root@proxy ~]# wget ftp://192.168.4.5/log2.tar //下载第二个文件,失败
4)检查该测试包的安全上下文,正确调整后再次下载第二个包成功。
文件已经存放到共享目录下,但客户端无法访问下载,是因为被SELinux拦截了!
[root@proxy ~]# ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log1.tar
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 log2.tar
[root@proxy ~]# chcon -t public_content_t /var/ftp/d2.tar.gz
[root@proxy ~]# ls -Z /var/ftp/log2.tar
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 log2.tar
[root@proxy ~]# wget ftp://192.168.4.5/log2.tar //再次下载,成功
注意:上例中的chcon操作可替换为(效果相同): restorecon /var/ftp/log2.tar.gz 或者 chcon --reference=/var/ftp/log1.tar.gz /var/ftp/log2.tar.gz
猜你喜欢
- 2024-11-04 /etc/passwd格式说明(etcpasswd 详解)
- 2024-11-04 centos7关闭防火墙firewalld 绝对不能在服务器上执行命令
- 2024-11-04 Linux系统搭建NFS网络文件系统,实现文件共享
- 2024-11-04 Linux上使用tinyproxy快速搭建HTTP/HTTPS代理器
- 2024-11-04 「神马课堂」Linux操作系统中主DNS服务器的配置(基于CentOS 7)
- 2024-11-04 Linux命令笔记-01(linux命令教程)
- 2024-11-04 Linux更改ssh端口的详细教程(提升系统安全)
- 2024-11-04 如何加固Linux系统?8种操作示例(linux主机加固)
- 2024-11-04 如何解决 Open /etc/postfix/main.cf: Permission denied ?
- 2024-11-04 Linux服务管理之Systemd配置详解,呕心沥血,匠心之作
- 1507℃桌面软件开发新体验!用 Blazor Hybrid 打造简洁高效的视频处理工具
- 503℃Dify工具使用全场景:dify-sandbox沙盒的原理(源码篇·第2期)
- 484℃MySQL service启动脚本浅析(r12笔记第59天)
- 464℃服务器异常重启,导致mysql启动失败,问题解决过程记录
- 462℃启用MySQL查询缓存(mysql8.0查询缓存)
- 442℃「赵强老师」MySQL的闪回(赵强iso是哪个大学毕业的)
- 422℃mysql服务怎么启动和关闭?(mysql服务怎么启动和关闭)
- 418℃MySQL server PID file could not be found!失败
- 最近发表
- 标签列表
-
- c++中::是什么意思 (83)
- 标签用于 (65)
- 主键只能有一个吗 (66)
- c#console.writeline不显示 (75)
- pythoncase语句 (81)
- es6includes (73)
- windowsscripthost (67)
- apt-getinstall-y (86)
- node_modules怎么生成 (76)
- chromepost (65)
- c++int转char (75)
- static函数和普通函数 (76)
- el-date-picker开始日期早于结束日期 (70)
- js判断是否是json字符串 (67)
- checkout-b (67)
- localstorage.removeitem (74)
- vector线程安全吗 (70)
- & (66)
- java (73)
- js数组插入 (83)
- linux删除一个文件夹 (65)
- mac安装java (72)
- eacces (67)
- 查看mysql是否启动 (70)
- 无效的列索引 (74)