Linux15-SELinux
目录
一、查看和配置SELinux生效
二、SELinux上下文
2.1、查看SELinux上下文
2.2、semanage+restorecon命令更改SELinux上下文
三、SELinux布尔值
四、SELinux故障排除
Security Enhanced Linux(SELinux)是一个额外的系统安全层,是一种强制访问控制(MAC)的访问控制手段,基于策略的方式来保护系统中进程。
一、查看和配置SELinux生效
使用命令getenforce查看SELinux的配置情况。使用命令setenforce只能临时修改SELinux配置,也就是修改内存中SELinux的配置,重启后失效。selinux本质是一个内核模块,要让修改永久生效,那么就要修改配置文件/etc/selinux/config中的SELINUX参数为,然后重启生效。
SELinux的三种状态:
- enforcing,强制模式。默认没有明确的允许就是拒绝。提供保护,同时记录日志。
- permissive,许可模式。访问跟策略冲突时允许用户去执行,会把错误信息发送到日志。
- disabled,禁用模式。不提供保护,也不记录日志。
setenforce 0 permissive | 1 enforcing
查看selinux的日志的方法:tail /var/log/audit/audit.log | grep avc。过滤avc可以看到错误信息。
[root@server0 ~]# getenforce
Enforcing
[root@server0 ~]# cat /etc/selinux/config# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted二、SELinux上下文
selinux具有多种上下文:用户、角色、类型、敏感度。默认的目标策略(SELINUXTYPE=targeted)会根据第三个上下文——类型上下文来制定自己的规则。类型上下文通常以 _t 结尾。比如Web服务器的类型上下文是httpd_t,位于/var/www/html中的文件和目录的类型上下文是httpd_sys_content_t,Web服务器端口的类型上下文是http_port_t 等等。如果更改了目录、监听端口,而新的目录、端口不具备相应的类型上下文,那么selinux就禁止访问,从禁止恶意用户访问。
2.1、查看SELinux上下文
每个端口、每个文件都有自己的类型上下文。查看方法有 ls -lZ、ps -Z。
selinux保护系统中的进程:
- 进程需要监听某个端口
- 访问进程自己的家目录
[root@server0 ~]# ps axZ | grep httpd
system_u:system_r:httpd_t:s0 5998 ? Ss 0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5999 ? S 0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 6000 ? S 0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 6001 ? S 0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 6002 ? S 0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 6003 ? S 0:00 /usr/sbin/httpd -DFOREGROUND[root@server0 ~]# ll -dZ /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
2.2、semanage+restorecon命令更改SELinux上下文
虽然修改端口和文件的上下文有两个命令,但是为了保证重启依旧生效,只推荐使用semanage+restorecon命令,另一个不记也不要使用!
列出和修改端口的上下文,semanage port的 -l列出 -a增加 -t指定上下文 -p指定协议和端口。
semanage port -l # 列出端口上下文
semanage port -a -t http_port_t -p tcp 8888 # 端口8888增加web服务的端口上下文列出和修改文件的上下文,和上面的选项意义一样。
注意(/.*)?正则表达式,表示“匹配后跟任意数量的字符”,它会匹配在表达式前面列出的目录并递归匹配该目录中的所有内容。
注意semanage只是改变了默认的设置,还要改一下已经生成的文件的文件域,用restorecon -Rv file,这样才永久生效。
semanage fcontext -l # 列出文件上下文semanage fcontext -a -t httpd_sys_content_t '/data/my/custom/dir(/.*)?' # 自己定义的web服务目录/data/my/custom/dir增加web服务的文件上下文
restorecon -Rv /data/my/custom/dir # 还要改一下已经生成的文件的文件域才永久生效举例,我们把apache的目录改为/virtual,那么配置好以后启动apache,访问网页,也会有如下的报错。配置好上下文以后访问才正常。
[root@server0 ~]# systemctl status httpd
httpd.service - The Apache HTTP ServerLoaded: loaded (/usr/lib/systemd/system/httpd.service; enabled)Active: active (running) since Sat 2021-03-27 14:43:19 CST; 54s agoProcess: 24773 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=0/SUCCESS)Main PID: 24777 (httpd)Status: "Total requests: 5; Current requests/sec: 0; Current traffic: 0 B/sec"CGroup: /system.slice/httpd.service├─24777 /usr/sbin/httpd -DFOREGROUND├─24779 /usr/sbin/httpd -DFOREGROUND├─24780 /usr/sbin/httpd -DFOREGROUND├─24781 /usr/sbin/httpd -DFOREGROUND├─24782 /usr/sbin/httpd -DFOREGROUND├─24783 /usr/sbin/httpd -DFOREGROUND└─24790 /usr/sbin/httpd -DFOREGROUNDMar 27 14:43:18 server0.example.com systemd[1]: Starting The Apache HTTP Server...
Mar 27 14:43:19 server0.example.com systemd[1]: Started The Apache HTTP Server.
Mar 27 14:43:25 server0.example.com python[24785]: SELinux is preventing /usr/sbin/httpd from getattr access on the file .***** Plugin catchall_labels (83.8 confidence) suggests *******************...[root@server0 ~]# semanage fcontext -a -t httpd_sys_content_t '/virtual(/.*)?'
[root@server0 ~]# restorecon -Rv /virtual/
restorecon reset /virtual context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
restorecon reset /virtual/index.html context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
[root@server0 ~]# systemctl restart httpd
三、SELinux布尔值
SELinux布尔值是更改SELinux策略行为的开关。可以启用或禁用。selinux-policy-devel包提供了很多手册(man 8 查看),解释不同布尔值的含义。man -k selinux可以列出这些文档。
yum install selinux-policy-devel.noarch
mandb
man -k selinux查看当前布尔值设置。
[root@server0 ~]# semanage boolean -l | grep httpd | grep home
httpd_enable_homedirs (off , off) Allow httpd to read home directories
设置布尔值,-P永久生效。
[root@server0 ~]# setsebool httpd_enable_homedirs on
[root@server0 ~]# semanage boolean -l | grep httpd | grep home
httpd_enable_homedirs (on , off) Allow httpd to read home directories[root@server0 ~]# setsebool -P httpd_enable_homedirs on
[root@server0 ~]# semanage boolean -l | grep httpd | grep home
httpd_enable_homedirs (on , on) Allow httpd to read home directories四、SELinux故障排除
selinux默认的日志/var/log/audit/audit.log,过滤avc字样来看报错。从日志/var/log/message里也可以发现有用的消息。
安装setroubleshoot-server包,然后使用命令 sealert -a <log>查看selinux报错的详细内容。
或者知道一个selinux UUID(selinux的一个事件号),用sealsert -l <UUID>也可以查看有用的信息。
yum install setroubleshoot-server # 装包
sealert -a /var/log/audit/audit.log # 分析一个日志less /var/log/messages # 从日志里找出UUID
Mar 27 03:23:35 localhost setroubleshoot: SELinux is preventing /usr/sbin/httpd from read access on the file . For complete SELinux messages. run sealert -l 36191ec4-827d-4018-b156-8924c3a992cc
sealert -l 36191ec4-827d-4018-b156-8924c3a992cc # 根据UUID查看详细信息相关文章:
Java学习(三)JSP学习1
一、 理解JSP技术 JSP全名为Java Server Pages,中文名叫java服务器页面,其根本是一个简化的Servlet设计,它 是由Sun Microsystems公司倡导、许多公司参与一起建立的一种动态网页技术标准。JSP技术有点类似ASP技术,它是在传统的网…
通过Java代码实现图片的放大和缩小
本文介绍的例子在Android安卓手机上测试通过。 先看看效果吧。可以看到这个开发好的安卓应用有三个按钮:Zoom In缩小图片,Zoom Out放大图片和Save保存。 初始页面: 可以在左边边框自由移动图片,图片下面的调试界面debug screen会显…
ProxyError: Conda cannot proceed due to an error in your proxy configuration
右键网络---->属性---->左下角的Internet选项---->链接---->局域网设置 将所以的对号去掉
Java访问权限(详尽版)
Java中的访问权限一共有四种:public 、protected 、 默认的 、private(访问范围由大到小): 先说public和private这两种,因为这两种最容易理解: public:在整个项目中都可以被访问,无…
suse11sp4配置vnc显示gnome
目录 一、suse11sp4配置vnc默认显示xterm 二、suse11sp4配置vnc显示gnome桌面 一、suse11sp4配置vnc默认显示xterm 今天给一台比较老的服务器配置vnc服务,操作系统为suse11sp4。该服务器已经安装了gnome界面和vnc。vncpasswd设置密码,vncserver :1设置…
ubuntu18.04安装CUDA10.0
1、更新驱动 对于CUDA10.0,要求驱动版本大于410.48,因此首先要更新驱动 ubuntu-drivers devices(查看所有驱动) sudo ubuntu-drivers autoinstall(自动安装最适合的驱动) 查看驱动版本 nvidia-smi 2、下载…
运行时异常 检查时异常
Throwable是Java程序中所有异常对象的根基类,而Throwable是从Object类直接继承来的, Throwable可分为error(错误)和 Exception(异常)。error表示的是JDK出了问题,与写的代码无关;而E…
Atitit. Attilax企业框架 AEF的发展里程总结
Atitit. Attilax企业框架 AEF的发展里程总结 1. Attilax企业框架and框架发展思想 1 2. AEF框架 2 2.1. 多语言支持,涉及的语言 java ,c# php python js c 2 2.2. 业务模块支持 2 2.3. 技术组件支持 2 2.4. 平台化支持 2 2.5. 插件化支持 2 3. AEF框架发展里程 3 3.1…
1.3创建项目「深入浅出ASP.NET Core系列」
控制台创建项目 dotnet new --help 使用控制台采集项目,务必要熟练使用命令,--help是命令帮助的指明灯,在你无法google的时候,可以离线状态最快的帮助到你。 根据模板名称,我们可以创建各种模板,比如 dotne…
Linux16-防火墙与firewalld
目录 一、netfilter与firewalld 二、firewalld与firewall-cmd、firewall-config 2.1、预定义区域 2.2、预定义服务 2.3、firewall-cmd和firewall-config配置工具 2.4、富规则rich-rule 一、netfilter与firewalld linux内核有个防火墙模块netfilter,它是一个 …
throws throw 自定义异常
我们知道当程序遇到异常时除了用try-catch-finally来捕获异常外,还可以用throws和throw去抛出异常,使用异常处理可以定位问题所在处,方便修改程序代码: 例如利用try-catch-finally来捕获异常: public class Test{pub…
配置hadoop集群一
花了1天时间最终把环境搭建好了。整理了一下,希望对想学习hadoop的有所帮助。资料下载:http://pan.baidu.com/s/1kTupgkn包括了linux虚拟机。jdk, hadoop1.0环境搭建准备工作:hadoop_master 192.168.50.158hadoop_slave 192.168.50.136网络…
将前台日期格式转成与数据库日期格式相对应,后台java转数据库日期格式
前台到后台java时data日期类型的转化 在实体类中用DataTimeFormat,这样设置即使传过来是空的字符串也是可以转的,要和前面传过来的格式一致,如 XmlElement(name"BeginDate") DateTimeFormat(pattern"yyyy-MM-dd") privat…
Ubuntu18.04安装cudnn
下载Cudnn cudnn下载版本要与cudn版本相对应。笔者cudn为10.0,则cudnn选7.65。下载地址: https://developer.nvidia.com/rdp/cudnn-archive 下载for Linux这个。 编译 解压后运行以下命令: sudo cp cuda/include/cudnn.h /usr/local/cuda…
Linux17-磁盘分区、文件系统、逻辑卷管理LVM
目录 一、磁盘分区、文件系统、永久挂载 1.1、MBR分区方案 1.2、使用fdisk、mkfs、partprobe、blkid、lsblk等命令管理MBR分区 1.3、swap分区 1.4、GPT分区方案、使用gdisk管理GPT分区 二、逻辑卷LVM(Logical Volume Management) 2.1、物理卷PV、…
javascript基础 之 json
1,json是用于存储和传输的数据格式 全称:JSON 英文全称 JavaScript Object Notation json转化为javascript的规则: 数据为 键/值 对。数据由逗号分隔。大括号保存对象方括号保存数组<body> <p id"hehe"></p> <…
List常用方法总结 遍历集合的方法
List接口继承Collection接口,该接口属于数据结构中的线性结构,用户可以根据元素的整数索引来访问元素,换句话说就是List集合是按照存储的顺序保存的,且从0开始数,说白了就是就相当于一个数组,不同的是数组要…
ubuntu下载安装MaskRCNN-benchmark
在window下,配个环境,一堆错误,一周多都没解决。换到ubuntu下,不到一天就配好了 强烈建议直接去ubuntu下配置,千万别在window环境下配置。 一、下载anaconda,创建虚拟环境 下载anaconda的步骤读者可以去…
积跬步,聚小流------ps有用小技巧,改变png图标颜色
积跬步,聚小流------ps有用小技巧,改变png图标颜色 * 实现效果: 原图: 改动后: * 实现目的: 满足为实现不同界面色彩搭配改动png图标的颜色 * 实现方法: 1、打开Photoshop工具,导…
linux常用运维工具uptime、iostat、vmstat、sar
目录 一、uptime 二、iostat 三、vmstat 四、sar 一、uptime uptime可以告诉你系统已经运行了多久。uptime命令回显一行信息,包括:系统运行了多久,目前有多少用户在登录,过去1、5、15分钟系统平均负载。这些内容和命令w回显的…
《人类简史》八、融合统一(下)——宗教的法则、历史的混沌
在前面,我们说了金钱和帝国,今天我们聊一聊宗教。宗教的话题算是比较敏感的,必定很多人是拥有自己的宗教信仰的,如果在下面的论述过程之中,让您觉得有什么不妥的地方,还希望能够理解。我并没有贬低或者蔑视…
Set集合常用方法 遍历Set集合的方法
Set接口继承Collection接口,它与List集合有一个区别就是:List集合可以保存重复的数据,而Set集合不可以。Set接口有三个常用实现类: HashSet,特点: 它不按照存储的顺序保存,具有不确定性&#…
ubuntu下使用conda出现solving environment失败
更换anaconda的源(注意是anaconda的源,不是ubuntu的源) sudo gedit ./.condarc在出现的空文档中写入 channels:- https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/main- https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/free- htt…
centos8编译openssl-1.0.2u、openssl-1.1.1k
目录 一、给openssl-1.0.2u打包rpm 二、编译安装openssl-1.1.1k 三、给openssl-1.1.1k打包rpm(不推荐!) 近日openssl爆出拒绝服务、证书绕过漏洞,CVE编号CVE-2021-3449、CVE-2021-3450。 解决方法: CentOS7默认ope…
jquery 1.7.2源码解析(二)构造jquery对象
构造jquery对象 jQuery对象是一个类数组对象。 一)构造函数jQuery() 构造函数的7种用法: 1.jQuery(selector [, context ]) 传入字符串参数:检查该字符串是选择器表达式还是HTML代码。如果是选择器表达式,则遍历文档查找匹配的DOM元素&#x…
Map接口及其常用方法
Map集合基于键(key)和值(value)的映射,每个键只能映射一个值,也就是说key不可以重复(当然喽,重复的话就按最后一个为准)。键和值都可以是任何引用数据类型的值;且一对键值的存放是无序的。 Map常用的实现类…
C++计时函数
推荐使用chrono计时函数 #include<iostream> #include<vector> #include<algorithm> #include<chrono> using namespace std; class mycom { public:bool operator()(pair<int,int> p1,pair<int,int> p2){return p1.first < p2.first;…
最长递增子序列的两种解法
以LeetCode-300为例: O(n^2)解法: dp数组表示以i结尾的最长递增子序列的长度 class Solution { public:int lengthOfLIS(vector<int>& nums) {const int size nums.size();if (size 0) { return 0; } vector<int> dp(size, 1);int res…
【救援过程】升级openssl导致libcrypto.so.1.1动态库不可用
目录 一、故障重现 二、救援过程 一、故障重现 近日为了解决CVE-2021-3449: 拒绝服务漏洞、CVE-2021-3450: 证书校验漏洞,自己编译了openssl-1.1.1k。 亲测发现:只升级openssl的版本,动态库版本没有升级,系统可用。 升级openss…
C++类class
一、定义 构造函数:在定义一个类对象时会自动调用,可用于实现一些功能,比如new一个内存。 构造函数,没有返回值也不写void函数名称与类名相同构造函数可以有参数,因此可以发生重载程序在调用对象时候会自动调用构造&…