精华内容
下载资源
问答
  • SE-Linux安全策略实验文档 #### 前言 操作系统安全设计一般有自主访问控制DAC和强制访问控制MAC。 自主访问控制DAC在Linux中的实现有:9位权限码和访问控制列表ACL(见前实训)。 强制访问控制MAC在Linux中的实现...

    SE-Linux安全策略实验文档

    前言

    实训文档:实训二_实验文档https://gitee.com/zhongjiacheng/TrainDocument
    操作系统安全设计一般有自主访问控制DAC强制访问控制MAC

    自主访问控制DAC在Linux中的实现有:9位权限码和访问控制列表ACL(见前实训)。

    强制访问控制MAC在Linux中的实现就是SE-Linux,它是美国国家安全局NSA对强制访问控制的实现。

    SE Linux通过一个安全上下文来标记每一个主体、客体。在SE Linux中,将安全上下文的信息存放在了文件系统的扩展属性中。可以通过ls --context/-Z filename查看安全上下文。也可以通过getfattr查看文件系统的扩展属性。安全上下文在拓展属性中的存储格式是“security.selinux = user:role:type[level[: category]] “。

    SE Linux一般在Centos和red hat中使用。


    系统基本命令

    sestatus查看系统selinux状态信息。

    seinfo查看更详细的se信息。

    配置文件路径:/etc/selinux/config

    开机启动配置路径:/boot/grub/menu.lst kernel后是否有selinux=0(默认关闭)

    getenforcesetenforce可以获得状态、切换enforcing和permissive状态。

    chcon修改安全上下文

    restorecon恢复默认安全上下文


    子任务1、网络服务启动与观察

    使用ps -aux -Z | grep http查看http进程的相关安全上下文情况。

    t4dplT.png

    发现都是一样的。

    未定义的user、程序常见system_r的role、httpd_t:s0 的type。

    子任务2:重新设置SE Linux安全上下文

    这个子任务我们在用户主目录下创建一个index2.html的页面,然后移动到/var/www/html目录下,再次使用浏览器尝试打开,却发现没有权限。

    我们使用audit2why < /var/log/audit/audit.log查看错误信息。

    (新版本中该审计环境需要安装setroubleshoot 、 setroubleshoot-server,拥有auditd审计服务进程环境,使用chkconfig auditd on开启它)

    t40tOS.png

    可以看到,打印出了错误问题是type的原因。并且推荐使用audit2allow获得解决方案。

    我们尝试获得解决方案audit2allow <(-a) /var/log/audit/audit.log

    t4rCdg.png

    结果很简单,它推荐我们增加一个规则,允许httpd_t类型(type)对admin_homt_t类型(type)拥有getattr权限,即可解决这个问题。

    这里由于还不会增加规则,所以先尝试修改index2.html的类型(type)解决问题。

    chcon -t httpd_sys_content_t /var/www/html/index2.html

    或者使用restorecon -Rv(递归并显示处理信息) /var/www/html/将目录下所有文件安全上下文设置为目录预设的安全上下文值。

    t4yKPJ.png

    再次尝试成功打开页面。

    t4sm9A.png


    SE策略修改

    子任务1、SELinux对vsftpd服务相关策略

    安装ftp服务yun -y install vsftpd

    安装ftp客户端yum -y install ftp

    启动vsftpd服务/etc/init.d/vsftpd start

    尝试访问本机的ftp服务ftp localhost

    发现无权限访问,查看审计日志找出解决方案audit2why < /vat/log/audit/audit.log | grep ftp

    t4LoOf.png

    可以看到解决方案:1、设置布尔值允许ftp服务登录本地用户和对所有文件的读写操作。2、允许ftp在用户的家目录读写文件。

    并且给出了解决问题的指令setsebool -P allow ftpd full access 1setsebool -P ftp home dir 1

    尝试解决后,再次登录试验,发现成功!

    t4O3hd.png

    子任务2、使用semanage更改apache的监听端口,并将SELinux的审计日志进行记录和分析

    semanage port -l | grep http查看所有http端口信息。

    t4vSXt.png

    将apache的监听端口号从80改成82(/etc/httpd/conf/httpd.conf)

    重启apache服务/etc/init.d/httpd restart发现报错

    t4xkb6.png

    原因是没有权限绑定82号端口。

    看一下审计日志的是否记录报错内容。audit2why < /var/log/audit/audit.log

    t4zI6s.png

    使用semange命令允许http82端口的监听:semanage port -a -t http_port_t -p tcp 82

    使用semanage port -l查看是否成功。

    t4zc0P.png

    可以看到增加了82端口监听的支持。

    重启apache,测试是否成功。

    t5SG9g.png

    成功(解决了一个不影响apache使用的服务器名字的异常报错,方法:在/etc/hosts中增加主机名bogon)

    子任务3、防止入侵者执行未授权的CGI或Perl脚本来获取系统的控制

    首先切换到student普通用户,在家目录下创建一个perl脚本。脚本内容是很简单的打印HelloWorld。

    然后chmod a+x hello.pl,给ugo增加可执行权限。

    查看一下安全上下文信息ls -Z hello.pl

    t5CP7q.png

    配置apache配置文件,使其允许运行CGI脚本。

    <Directory />
    	Options FollowSymLinks ExecCGI
    	AllowOverride None
    </Directory>
    <Directory "/var/www/html">
    	Options Indexes FollowSymLinks ExecCGI
    </>
    AddHandler cgi-script .cgi .pl
    

    拷贝perl脚本到/var/www/html目录下。重启apache服务,使用浏览器打开(注意端口前面你已经修改成82了)

    t5iGOH.png

    成功运行。

    但是apache配置允许运行脚本,就可以没有任何保护策略的随意运行是非常危险的。为了防止这一漏洞对系统造成伤害,就需要设置httpd也就是apache的httpd_unified策略布尔值,将其设置为0关闭状态。

    查询当前httpd_unified策略布尔值:getsebool -a | grep httpd_unified

    修改策略布尔值setsebool -P(立即生效) httpd_unified=0

    t5FqKg.png

    此时再次尝试浏览器访问此脚本,发现就会被禁止这个请求。

    t5kwQS.png

    一旦关闭了这一策略,就需要给可信脚本的安全上下文设置一个httpd_sys_script_exec_t的类型。

    设置命令:chcon -v(显示操作信息) --type=httpd_sys_script_exec_t(指定安全上下文类型) hello.pl

    这样,我们就可以控制脚本在服务器上的安全运行啦。设置好后,我们再次尝试浏览此脚本,成功运行!


    SELinux策略定制

    使用到的命令:audit2allowcheckmodulesemodule_packagesemodule

    子任务1、使用SELinux图形化工具system-config-selinux来为命令”rwho“定制新的SELinux策略,并介绍所产生的te文件中具体内容信息。

    system-config-selinux -> 策略模块 -> 新建 -> 标注你的init守护进程 -> 策略名称、可执行程序位置/usr/bin/XXX -> 选择应用程序通用特征(写入syslog、发送审计消息) -> 生成四个文件

    t5u7RA.png

    子任务2、使用audit2allow为apache定制新的策略,允许apache使用任何端口进行绑定

    首先和前面实训一样,修改apache的配置文件端口号监听为85,然后重启服务。由于我们前面semanage也证明过,85端口号不被策略允许,所以会报错端口绑定失败,并且在审计日志被记录。

    1、使用audit2allow分析刚才的审计日志内容,自动生成解决策略port.te

    cat /var/log/audit/audit.log | audit2allow -m port > port.te

    2、使用checkmodule工具通过策略文件生成策略模块

    checkmodule -m -M -o port.mod port.te

    3、使用semodule_package工具通过策略模块生成策略模块包

    semodule_package -o port.pp -m port.mod

    4、使用semodule工具把策略模块包加载到内核中

    semodule -i port.pp

    5、使用图形化策略管理工具system-config-selinux查看刚刚增加的port策略

    t5QOqx.png

    6、再次重启apache服务,发现已经成功!

    t5lEeP.png

    子任务3、使用audit2allow为apache定制新的策略,不允许apache绑定监听除默认的端口以外的任意端口,例如82,但是审计系统对此不进行审计。

    任务3相比任务2简单来说是仍然不允许使用其他端口,但是不进行审计。回溯任务2的策略,我们允许了http所有端口的使用,其实只需要在这个te策略文件中将关键词allow改为dontaudit(不审计)即可。

    在进行任务3之前,我们需要先利用命令semodule --remove port把任务2加载的策略模块包卸载。

    下面的步骤与任务2相同。任务3的策略模块名我起名叫unaudit_invalidport。并且为了后面测试结果清晰,将apache的监听端口改成了非法的但前面实验没用过的81。

    加载好策略模块包后,再次重启apache发现端口绑定失败,查看审计日志,发现并没有81号端口的http报错,成功!

    t51vCD.png

    展开全文
  • RED HAT LINUX 6大全

    热门讨论 2011-10-21 18:46:06
    本书全面系统地介绍了Red Hat Linux 6。全书共分为五个部分,包括35章和四个附录。第一部分为Red Hat Linux的介绍和安装;第二部分为服务配置;第三部分为系统管理;第四部分为Linux编程;第五部分为附录。本书内容...
  • 1. 需现在阿里云安全策略中开启相应端口,80、3306等。 2. 想用外网访问3306需开启权限,进入mysql键入  GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%'IDENTIFIED BY 'mypassword' WITH GRANT OPTION; 3. 刷新...

    1. 需现在阿里云安全组策略中开启相应端口,80、3306等。

    2. 想用外网访问3306需开启权限,进入mysql键入

      GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%'IDENTIFIED BY 'mypassword' WITH GRANT OPTION;

    3. 刷新授权列表
      FLUSH PRIVILEGES

    4. 查看防火墙规则

      iptables -L -n --line-numbers 

    5. 修改防火墙规则配置文件

      vi /etc/sysconfig/iptables 

    6. 添加一条  A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

    7. 保存退出

    8. 重启防火墙  

      service iptables restart

    转载于:https://www.cnblogs.com/peilanluo/p/7057979.html

    展开全文
  • 78. secpol.msc-----本地安全策略 79. syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码 80. services.msc---本地服务设置 81. Sndvol32-------音量控制程序 82. sfc.exe--------...
  • 优秀搜索引擎优化:快速检索页面、优秀链接策略、秀优关键字策略、搜索引擎友好的网页设计、搜索引擎优 化轻松管理。 全新MVC系统(V=Smarty模板)搭载Smarty模板引擎,支持自定义伪静态,前台模板采用DIV+CSS设计...
  • 2、"执行器列表" 中显示在线的执行器列表, 可通过"OnLine 机器"查看对应执行器的集群机器; 执行器属性说明 1、AppName: (与datax-executor中application.yml的datax.job.executor.appname保持一致) 每个执行器...
  • 支持对 Linux、Windows 等资产操作的录像进行回放审计 支持对 RemoteApp:small_orange_diamond:、MySQL 等应用操作的录像进行回放审计 指令审计 支持对资产和应用等操作的命令进行审计 文件传输 ...
  • 通过组策略部署 TortoiseSVN C.2. 重定向升级检查 C.3. 设置 SVN_ASP_DOT_NET_HACK 环境变量 C.4. 禁用上下文菜单 D. TortoiseSVN 操作 D.1. TortoiseSVN 命令 D.2. TortoiseIDiff 命令 E. 命令行交叉索引 ...
  • Tcl_TK编程权威指南pdf

    热门讨论 2011-03-25 09:30:55
    安全策略与浏览器插件 配置安全策略 第3部分 tk基础 第21章 tk的基本知识 th中的hello,world! tk组件的命名 配置tk组件 tk组件属性与资源数据库 tk命令概要 第22章 tk实例解析 execlog example ...
  • 这一点貌似在 Linux 和 Mac OS X 下不用操心,在 Windows 下有可能遇到需要安装驱动的情况,确认这一点可以右键「计算机」-「属性」,到「设备管理器」里查看相关设备上是否有黄色感叹号或问号,如果没有就说明驱动...
  • 第一部 MySQL基础入门(21节) 01-老男孩运维DBA课程开班.avi 02-数据库概念介绍.avi 03-数据库种类介绍及关系型数据库原理.avi ...06-数据库客户端安全控制策略详解.avi 07-数据库运维的核心管理思想.avi
  • 安全策略 如果不希望代理访问内网(避免 SSRF 风险),可执行 setup-ipset.sh: /home/jsproxy/server/setup-ipset.sh 需要 root 权限,依赖 ipset 命令 该脚本可禁止 jsporxy 用户访问保留 IP 段(针对 TCP)。...
  • Python Cookbook

    2013-07-31 22:33:26
    6.20 精确和安全地使用协作的超类调用 270 第7章 持久化和数据库 273 引言 273 7.1 使用marshal模块序列化数据 275 7.2 使用pickle和cPickle模块序列化数据 277 7.3 在Pickling的时候压缩 280 7.4 对类和实例...
  • 录像机管理、摄像机管理,可添加删除修改导入导出打印信息,立即应用新的设备信息生成树状列表,不需重启。 在pro文件中可以自由开启是否加载地图。 视频播放可选2种内核自由切换,vlc+ffmpeg,均可在pro中设置。 可...
  •  4.3 用Enterprise Manager查看初始参数  4.4 调整DB_CACHE_SIZE来提高性能  4.4.1 在调整DB_CACHE_SIZE时使用V$DB_CACHE_ADVICE  4.4.2 保证数据缓存命中率超过95%  4.4.3 监控V$SQLAREA视图以查找较慢的查询...
  • 20.5 安全策略的管理 20.5.1 代码组和权限的管理 20.5.2 安全性的启用和禁用 20.5.3 代码组的创建 20.5.4 代码组的删除 20.5.5 代码组权限的更改 20.5.6 权限集的创建和应用 20.5.7 使用强名发布代码 20.5.8 使用...
  • 新来的"大神"用策略模式把if else给"优化"了,总监想叫他走... 零拷贝 从String中移除空白字符的多种方式!?差别竟然这么大! Java必会基础与新版本特性 集合框架 HashMap 面试官:HashMap 为什么线程不安全? ...
  • 手机 pdf 阅读器

    2009-02-12 23:00:29
    (对于NOKIA手机及其它部分手机,由于安全策略的限制,在Anyview的文件管理器中无法查看后缀为.jar的文件) 自定义问候语(系统路径下dictum.rc文件,格式参见jar包中的dictum.rc文件,保存时使用UTF-8编码,可写条目为...
  • [Oracle.11g权威指南(第2版)].谷长勇.扫描版.pdf

    千次下载 热门讨论 2013-06-23 21:16:09
    14.3 表的分区策略 332 14.4 管理表分区 332 14.4.1 表分区管理的操作列表 332 14.4.2 表分区管理的操作实例 333 14.5 分区表联机重定义 336 14.6 创建索引分区 338 14.6.1 索引分区概念 338 14.6.2 本地索引分区 ...
  • 4.12.17 基于策略的配置框架 118 4.12.18 跟踪数据库特性使用的统计数据 118 4.12.19 OEM Grid Control 120 4.12.20 管理Management Agent 122 4.12.21 OMS(Oracle Management Service,Oracle服务管理)...
  • 2.3.2 在Linux下运行Cassandra 31 2.3.3 启动服务器 32 2.4 使用命令行界面的客户端 33 2.5 基本命令行命令 34 2.5.1 帮助 34 2.5.2 连接服务器 35 2.5.3 描述环境 35 2.5.4 创建keyspace和列族 36 ...
  • 操作系统(内存管理)

    热门讨论 2009-09-20 12:55:25
    文将对 Linux™ 程序员可以使用的内存管理技术进行概述,虽然关注的重点是 C 语言,但同样也适用于其他语言。文中将为您提供如何管理内存的细节,然后将进一步展示如何手工管理内存,如何使用引用计数或者内存池来半...
  • 2.5.5 当路由器接收的IP报文的TTL值等于1时,采取的策略是? 2.5.6 在NetWare 网络中,客户需要访问某个类型的服务器时,首先要发送一个 ()广播报文来寻找服务器? 2.5.7 IPX地址网络地址有( )个字节? 2.5.8...
  • 深入学习shell脚本艺术

    热门讨论 2011-02-22 04:01:01
    而本书除了介绍BASH的知识之外,也有许多有用的关于Linux/UNIX的知识和其他shell的介绍。 在看到本书的英文版后,我决定把它翻译出来,在Linuxsir论坛上结识了译者之一杨春敏共同翻译这本书,600多页的书是本大部头...
  • 实例017 Linux操作系统下启动XAMPP 32 实例018 设置MySQL数据库root用户的密码 33 实例019 第5个PHP程序 34 1.6 Dreamweaver开发工具 35 实例020 Dreamweaver中编码格式的选择 35 实例021 Dreamweaver中创建表格 36 ...
  • 实例017 Linux操作系统下启动XAMPP 32 实例018 设置MySQL数据库root用户的密码 33 实例019 第5个PHP程序 34 1.6 Dreamweaver开发工具 35 实例020 Dreamweaver中编码格式的选择 35 实例021 Dreamweaver中创建表格 36 ...
  • 5306 网吧维护\资料\xp实用技巧\防范Windows XP的安全策略.txt 2191 网吧维护\资料\xp实用技巧\隔离组件和并列共享.txt 14502 网吧维护\资料\xp实用技巧\高级技巧与应用.txt 3525 网吧维护\资料\xp实用技巧\Windows...
  • Git权威指南PDF完整版

    千次下载 热门讨论 2012-12-25 17:53:55
    2.7 更好用的提交列表/ 17 2.8 更好的差异比较/ 18 2.9 工作进度保存/ 18 2.10 代理SVN提交实现移动式办公/ 19 2.11 无处不在的分页器/ 20 2.12 快/ 21 第3章 Git的安装和使用/ 22 3.1 在Linux 下安装和使用 Git/ 22...
  • 031《OneTab》把多个Tab转换为一个列表 030《掘金》相信优质技术内容的力量 029 《SimpRead》为任意网页开启阅读模式 028《AdBlock》Adblock自定义屏蔽简书广告 027《Text》来自Chrome实验室的跨平台记事本 ...
  • 2) 修改静态编译后“选择列表框”在“单选”属性为真时不显示项目内容的BUG 3) 修改核心库中“播放音乐”命令在没有声卡或声卡被禁用时未正确释放资源的BUG 4) 修改静态编译后“读配置项”命令在第三个参数“配置...

空空如也

空空如也

1 2
收藏数 35
精华内容 14
关键字:

linux查看安全策略列表

linux 订阅