首页 > 系统相关 >selinux的上下文

selinux的上下文

时间:2023-11-15 23:02:20浏览次数:40  
标签:object selinux s0 controller home 上下文 root

一:了解selinux的信息

selinux和防火墙和文件和目录的权限三种限制

要开启一个服务,这三个东西都要调试一下,才能正确的使用这个服务

selinux的介绍:

他是一个安全访问策略,用来确定进程可以访问哪些文件,服务对应的文件或者目录, 服务对应的端口,服务对应的进程 这三种

列子:

服务的实列(就是进程),所以也受selinux的保护,可以看成是文件和目录并行的权限系统:
如果selinux开启,以root身份运行进程,访问文件不光要受用户对文件访问的权限限定,还要受进程对文件selinux上下文的限定,否则,就算是root用户运行的进程,也不一定能访问某个文件

二:selinux的三种模式

1)三种模式

enforcing:强制模式--拒绝非法访问并录入日志

permissive:警告模式---暂时允许访问并录入日志

disabled:禁用模式---允许访问--不录入日志

2)修改三种模式

[root@controller samba-share]# setenforce 0
[root@controller samba-share]# getenforce 
Permissive
[root@controller samba-share]# 

这种只是临时修改,重启后,会回复原样

#永久的修改,修改配置文件
SELINUX=disabled

 reboot重启selinux

selinux的状态发生改变才叫重启,否则不叫重启

 

三:seliniux的上下文

就是在linux系统里面,每个文件,进程,端口号都有安全标签,这个标签就是selinux安全策略

某个进程是否能访问文件,目录或者端口的工具

1:上下文的内容

使用ll -Z 就可以查看上下文的类型

[root@controller ~]#  ll -Z
total 23088
-rw-------. 1 root root system_u:object_r:admin_home_t:s0         1636 Nov 13 04:29 anaconda-ks.cfg
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 23633920 Nov 13 04:48 ansible2.9.iso
drwxr-xr-x. 2 root root unconfined_u:object_r:admin_home_t:s0        6 Nov 13 04:31 Desktopd 

第一个字段:用户

系统用户(system_u),未指定用户(unconfined_u)

第二个字段:角色

系统角色(system_u),未指定角色(unconfined_u),对象角色(object_u)

第三个字段:类型(最重要的)

以t结尾,三种类型的,进程的类型,端口的类型,文件的类型

都是一一对应的,否则,进程不能加载文件 

第四个字段:敏感度

0,1,2数值越大,敏感的程度就越高,有的进程就无法访问

 

2:上下文的操作

1:文件的上下文的操作

1)查看文件的上下文的2种方法

ll -Z

[root@controller ~]# ll -Z
total 23088
-rw-------. 1 root root system_u:object_r:admin_home_t:s0         1636 Nov 13 04:29 anaconda-ks.cfg
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 23633920 Nov 13 04:48 ansible2.9.iso
drwxr-xr-x. 2 root root unconfined_u:object_r:admin_home_t:s0        6 Nov 13 04:31 Desktops 

semanage fcontext -l |grep 刷选条件

[root@controller ~]# semanage fcontext -l |grep vsftpd
/etc/rc\.d/init\.d/vsftpd                          regular file       system_u:object_r:ftpd_initrc_exec_t:s0 
/usr/lib/systemd/system/vsftpd.*                   regular file       system_u:object_r:iptables_unit_file_t:s0 

2)修改文件的上下文操作

临时修改

chcon -t  文件的类型 文件

[root@controller ~]# ll -Z | grep 11
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0        0 Nov 16 06:32 11
[root@controller ~]# chcon -t admin_home_t 11
[root@controller ~]# ll -Z |grep 11
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0        0 Nov 16 06:32 11
[root@controller ~]#  

就是selinux的状态发生改变的话,就会恢复原样

永久修改

格式:

semanage fcontext -a  -t  类型 ‘路径(/.*)?’ 这个路径必须是绝对路径

[root@controller mnt]# semanage  fcontext -a -t admin_home_t "/mnt/11(.*)?"
[root@controller mnt]# 

#刷新一下
[root@controller mnt]# restorecon -RFv /mnt/11
Relabeled /mnt/11 from unconfined_u:object_r:mnt_t:s0 to system_u:object_r:admin_home_t:s0

这样就改变了

 

就是先要-a 可以修改,使用了这个之后,就能使用-m这个选项(修改)

 

  

 

  

 

 

 

 

 

 

 

 

 

标签:object,selinux,s0,controller,home,上下文,root
From: https://www.cnblogs.com/qm77/p/17816673.html

相关文章

  • 通过时序和上下文对比学习时间序列表征《Time-Series Representation Learning via Te
    现在是2023年11月14日的22:15,肝不动了,要不先回寝室吧,明天把这篇看了,然后把文档写了。OK,明天的ToDoList.现在是2023年11月15日的10:35,继续。论文:Time-SeriesRepresentationLearningviaTemporalandContextualContrasting(IJCAI官网版本PDF)或者是:Time-SeriesRepresenta......
  • 如何解决“当前上下文中不存在名称“XXXXXXXX””的问题
    原文链接:http://t.zoukankan.com/s5689412-p-9848122.html项目中的.cshtml文件出现编译调试一切正常,但是在设计时查看出现下面的提示时:错误CS0103当前上下文中不存在名称“ViewBag”XXXXXXXXXXXXXXXXIndex.cshtml2活动的错误CS0103当前上下文......
  • chatgpt升级啦,训练数据时间更新到2023年4月,支持tools(升级functionCall),128k上下文
     (2023年11月7日)gpt-4-1106-previewhttps://platform.openai.com/docs/models/gpt-4-and-gpt-4-turbo训练数据日期升级到2023年四月上线文增加到128k调用一次chatgpt接口,可以得到多次函数调用 importOpenAIfrom"openai";constopenai=newOpenAI();//Exampledummyfunc......
  • 如何利用「深度上下文兴趣网络」提升点击率?
    美团到店广告平台在用户行为序列建模算法的迭代落地中,基于对业务实际场景中用户决策心智的观察,创新性地提出了深度上下文兴趣网络,精确建模了用户的兴趣,提升了CTR等线上业务指标。本文介绍了相应算法背后的动机、建模方法以及工程优化,希望能为从事相关工作的同学带来一些启发或帮助......
  • SELINUX 入门 简单介绍
    简单介绍关于SELinux的一些概念 比如说什么是自主访问控制DAC和强制访问控制MAC;SELinux安全上下文的概念等等 那么今天咸鱼将单独写一篇文章向大家专门介绍一下SELinux 初识SELinux SELinux(SecurityEnhancedLinux,安全增强型Linux),这玩意由美国国家安全局(NS......
  • 上下文中找不到org.springframework.boot.web.servlet.server.ServletWebServerFactor
    1.问题报错如下:Description:Webapplicationcouldnotbestartedastherewasnoorg.springframework.boot.web.servlet.server.ServletWebServerFactorybeandefinedinthecontext.Action:Checkyourapplication'sdependenciesforasupportedservletwebse......
  • Tokio 在同步上下文中执行异步代码
    从spawn说起Tokio库中有两个同名的量,它们都叫spawn,但是却有着显著的区别:其中一个是tokio::runtime::Runtime结构体的方法(method),另一个是tokio::task模块的一个函数,同时也是你使用tokio::spawn时直接使用的那个.从这个特征来看,两者使用的方法是截然不同......
  • Linux的中断上下文中不能睡眠
      UnderstandingtheLinuxKernel,3rdEdition在4.3.NestedExecutionofExceptionandInterruptHandlers提到中断处理中不能阻塞,原文如下,Thepricetopayforallowingnestedkernelcontrolpathsisthataninterrupthandlermustneverblock,thatis,noproc......
  • PostgreSQL内存管理-内存上下文
    PostgreSQL8.4.1内存管理共享内存中存储着所有进程的公共数据,例如锁变量、进程通信状态、缓冲区等。而本地内存为每个后台进程所专有,是它们的工作区域,存储了该进程的Cache(高速缓存)、事务管理信息、进程信息等。为了防止多个进程并发访问共享内存中数据时产生冲突,PostgreSOL......
  • 服务器常见问题排查(一)——cpu占用高、上下文频繁切换、频繁GC
    一般而言cpu异常往往还是比较好定位的。原因包括业务逻辑问题(死循环)、频繁gc以及上下文切换过多。而最常见的往往是业务逻辑(或者框架逻辑)导致的,可以使用jstack来分析对应的堆栈情况。使用jstack排查占用率问题当使用jstack排查占用率问题时,可以按照以下步骤进行:首先,使用......