使用SElinux抓包与扫描

Posted 2020-11-01 腐种发芽

一、使用SElinux
linux访问控制类型有2种：
自主访问控制 资源由用户自己管理
强制访问控制 资源由管理员管理

1 SElinux 介绍 linux扩展安全，是实现强制访问控制的一种手段，由美国

国家安全局研发的，内核是2.6及以上版本的linux操作都支持。

2 查看当前系统selinux的状态
[[email protected] ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 28
[[email protected] ~]#

SELINUXTYPE=targeted状态
# enforcing - SELinux security policy is enforced. 启用
# permissive - SELinux prints warnings instead of enforcing. 宽松

模式
# disabled - No SELinux policy is loaded. 禁用

SELINUX类型？
targeted 只保护常见的网络服务
MLS 保护所有文件

修改配置文件永久设置selinux的状态
vim /etc/sysconfig/selinux
SELINUX=enforcing
SELINUXTYPE=targeted

临时修改系统selinux的状态
[[email protected] ~]# getenforce
Permissive

临时修改系统selinux的状态
setenforce 0 / 1

0 1
disabled < ---permissive ----->enforcing

查看安全上下文？ -Z
文件 ls -lZ 文件名
目录 ls -ldZ 目录名

进程 ps aux -Z
ps aux -Z | grep 进程名

安全上下文的组成？
用户:角色:访问类型:选项...

selinux启用后的一般规律？
创建新文件/目录 ： 继承父目录的安全上下文
移动文件/目录 ： 保持原有安全上下文属性不变
拷贝文件/目录 : 继续目标目录的安全上下文

修改文件的安全上下文 ？
# chcon -R -t 访问类型 目录名
# chcon -t 访问类型 文件名
# chcon -t httpd_sys_content_t /var/www/html/x99.html

恢复文件的安全上下文？
# restorecon 文件名
# restorecon /var/www/html/x203.html

selinux布尔值 ？（selinux 功能开关）
查看selinux布尔值
#getsebool -a

修改selinux布尔值的状态？
开/关
#setsebool -P 选项 on/off
#setsebool -P 选项=1/0

在13服务器上运行vsftpd服务，匿名用户访问ftp服务器时可以对目

录/var/ftp/shardir目录有上传和下载文件的权限
#yum -y install vsftpd
#mkdir /var/ftp/sharedir
#chmod o+w /var/ftp/sharedir
#cp /etc/passwd /var/ftp/sharedir/
[[email protected] ~]# sed -n ‘29p‘ /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES

#systemctl start vsftpd
#netstat -utnalp | grep :21
#getenforce

#setsebool -P ftpd_anon_write on
#setsebool -P ftpd_full_access on
#getsebool -a | grep ftp

客户端访问
#yum -y install ftp
#ftp 192.168.4.13

安装记录selinux报错信息的日志程序
[[email protected] ~]# rpm -qa | grep setroubleshoot
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-3.2.24-1.1.el7.x86_64
setroubleshoot-server-3.2.24-1.1.el7.x86_64

# 596 cat /var/log/messages | grep setroubleshoot | tail -1
# sealert -l 677ed5b2-40c3-4275-a8df-c213d23ea372
+++++++++++++++++++++++++++++++++++++
抓包与扫描
扫描nmap
#rpm -q nmap
#which nmap
#man nmap

命令格式： nmap [扫描类型] [选项] <扫描目标 ...>
常用的扫描类型
-sS，TCP SYN扫描（半开）
-sT，TCP 连接扫描（全开）
-sU，UDP扫描
-sP，ICMP扫描
选项
-A，目标系统全面分析
-A 是一个复合选项，相当于：
-O（OS检测）、-sV（版本检测）、-sC（脚本检测）、traceroute跟踪

-p 端口
-n 不做dns解析

在本机执行脚本/root/check_web.sh 功能是检查指定主机上的网站服务的运行状态。
执行脚本时，可以指定检查服务器的台数 和 ip地址
并显示被检查的服务器上的网站服务的状态
统计网站服务没开的服务器的台数 并发信息发送给本机的邮箱帐号[email protected]