一、使用SElinux
linux访问控制类型有2种:
自主访问控制 资源由用户自己管理
强制访问控制 资源由管理员管理
1 SElinux 介绍 linux扩展安全,是实现强制访问控制的一种手段,由美国
国家安全局研发的,内核是2.6及以上版本的linux操作都支持。
2 查看当前系统selinux的状态
[root@localhost ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 28
[root@localhost ~]#
SELINUXTYPE=targeted状态
# enforcing - SELinux security policy is enforced. 启用
# permissive - SELinux prints warnings instead of enforcing. 宽松
模式
# disabled - No SELinux policy is loaded. 禁用
SELINUX类型?
targeted 只保护常见的网络服务
MLS 保护所有文件
修改配置文件永久设置selinux的状态
vim /etc/sysconfig/selinux
SELINUX=enforcing
SELINUXTYPE=targeted
临时修改系统selinux的状态
[root@localhost ~]# getenforce
Permissive
临时修改系统selinux的状态
setenforce 0 / 1
0 1
disabled < ---permissive ----->enforcing
查看安全上下文? -Z
文件 ls -lZ 文件名
目录 ls -ldZ 目录名
进程 ps aux -Z
ps aux -Z | grep 进程名
安全上下文的组成?
用户:角色:访问类型:选项...
selinux启用后的一般规律?
创建新文件/目录 : 继承父目录的安全上下文
移动文件/目录 : 保持原有安全上下文属性不变
拷贝文件/目录 : 继续目标目录的安全上下文
修改文件的安全上下文 ?
# chcon -R -t 访问类型 目录名
# chcon -t 访问类型 文件名
# chcon -t httpd_sys_content_t /var/www/html/x99.html
恢复文件的安全上下文?
# restorecon 文件名
# restorecon /var/www/html/x203.html
selinux布尔值 ?(selinux 功能开关)
查看selinux布尔值
#getsebool -a
修改selinux布尔值的状态?
开/关
#setsebool -P 选项 on/off
#setsebool -P 选项=1/0
在13服务器上运行vsftpd服务,匿名用户访问ftp服务器时可以对目
录/var/ftp/shardir目录有上传和下载文件的权限
#yum -y install vsftpd
#mkdir /var/ftp/sharedir
#chmod o+w /var/ftp/sharedir
#cp /etc/passwd /var/ftp/sharedir/
[root@localhost ~]# sed -n '29p' /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES
#systemctl start vsftpd
#netstat -utnalp | grep :21
#getenforce
#setsebool -P ftpd_anon_write on
#setsebool -P ftpd_full_access on
#getsebool -a | grep ftp
客户端访问
#yum -y install ftp
#ftp 192.168.4.13
安装记录selinux报错信息的日志程序
[root@localhost ~]# rpm -qa | grep setroubleshoot
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-3.2.24-1.1.el7.x86_64
setroubleshoot-server-3.2.24-1.1.el7.x86_64
# 596 cat /var/log/messages | grep setroubleshoot | tail -1
# sealert -l 677ed5b2-40c3-4275-a8df-c213d23ea372
+++++++++++++++++++++++++++++++++++++
抓包与扫描
扫描nmap
#rpm -q nmap
#which nmap
#man nmap
命令格式: nmap [扫描类型] [选项] <扫描目标 ...>
常用的扫描类型
-sS,TCP SYN扫描(半开)
-sT,TCP 连接扫描(全开)
-sU,UDP扫描
-sP,ICMP扫描
选项
-A,目标系统全面分析
-A 是一个复合选项,相当于:
-O(OS检测)、-sV(版本检测)、-sC(脚本检测)、traceroute跟踪
-p 端口
-n 不做dns解析
在本机执行脚本/root/check_web.sh 功能是检查指定主机上的网站服务的运行状态。
执行脚本时,可以指定检查服务器的台数 和 ip地址
并显示被检查的服务器上的网站服务的状态
统计网站服务没开的服务器的台数 并发信息发送给本机的邮箱帐号root@localhost