使用SElinux抓包与扫描

Posted 腐种发芽

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用SElinux抓包与扫描相关的知识,希望对你有一定的参考价值。


一、使用SElinux
linux访问控制类型有2种:
自主访问控制 资源由用户自己管理
强制访问控制 资源由管理员管理


1 SElinux 介绍 linux扩展安全,是实现强制访问控制的一种手段,由美国

国家安全局研发的,内核是2.6及以上版本的linux操作都支持。

2 查看当前系统selinux的状态
[[email protected] ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 28
[[email protected] ~]#

SELINUXTYPE=targeted状态
# enforcing - SELinux security policy is enforced. 启用
# permissive - SELinux prints warnings instead of enforcing. 宽松

模式
# disabled - No SELinux policy is loaded. 禁用

SELINUX类型?
targeted 只保护常见的网络服务
MLS 保护所有文件

修改配置文件永久设置selinux的状态
vim /etc/sysconfig/selinux
SELINUX=enforcing
SELINUXTYPE=targeted

临时修改系统selinux的状态
[[email protected] ~]# getenforce
Permissive

临时修改系统selinux的状态
setenforce 0 / 1

0 1
disabled < ---permissive ----->enforcing

查看安全上下文? -Z
文件 ls -lZ 文件名
目录 ls -ldZ 目录名

进程 ps aux -Z
ps aux -Z | grep 进程名

安全上下文的组成?
用户:角色:访问类型:选项...

selinux启用后的一般规律?
创建新文件/目录 : 继承父目录的安全上下文
移动文件/目录 : 保持原有安全上下文属性不变
拷贝文件/目录 : 继续目标目录的安全上下文

修改文件的安全上下文 ?
# chcon -R -t 访问类型 目录名
# chcon -t 访问类型 文件名
# chcon -t httpd_sys_content_t /var/www/html/x99.html

恢复文件的安全上下文?
# restorecon 文件名
# restorecon /var/www/html/x203.html

selinux布尔值 ?(selinux 功能开关)
查看selinux布尔值
#getsebool -a

修改selinux布尔值的状态?
开/关
#setsebool -P 选项 on/off
#setsebool -P 选项=1/0

在13服务器上运行vsftpd服务,匿名用户访问ftp服务器时可以对目

录/var/ftp/shardir目录有上传和下载文件的权限
#yum -y install vsftpd
#mkdir /var/ftp/sharedir
#chmod o+w /var/ftp/sharedir
#cp /etc/passwd /var/ftp/sharedir/
[[email protected] ~]# sed -n ‘29p‘ /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES

#systemctl start vsftpd
#netstat -utnalp | grep :21
#getenforce

#setsebool -P ftpd_anon_write on
#setsebool -P ftpd_full_access on
#getsebool -a | grep ftp

客户端访问
#yum -y install ftp
#ftp 192.168.4.13


安装记录selinux报错信息的日志程序
[[email protected] ~]# rpm -qa | grep setroubleshoot
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-3.2.24-1.1.el7.x86_64
setroubleshoot-server-3.2.24-1.1.el7.x86_64

# 596 cat /var/log/messages | grep setroubleshoot | tail -1
# sealert -l 677ed5b2-40c3-4275-a8df-c213d23ea372
+++++++++++++++++++++++++++++++++++++
抓包与扫描
扫描nmap
#rpm -q nmap
#which nmap
#man nmap

命令格式: nmap [扫描类型] [选项] <扫描目标 ...>
常用的扫描类型
-sS,TCP SYN扫描(半开)
-sT,TCP 连接扫描(全开)
-sU,UDP扫描
-sP,ICMP扫描
选项
-A,目标系统全面分析
-A 是一个复合选项,相当于:
-O(OS检测)、-sV(版本检测)、-sC(脚本检测)、traceroute跟踪

-p 端口
-n 不做dns解析


在本机执行脚本/root/check_web.sh 功能是检查指定主机上的网站服务的运行状态。
执行脚本时,可以指定检查服务器的台数 和 ip地址
并显示被检查的服务器上的网站服务的状态
统计网站服务没开的服务器的台数 并发信息发送给本机的邮箱帐号[email protected]

























































































以上是关于使用SElinux抓包与扫描的主要内容,如果未能解决你的问题,请参考以下文章

linux安全管理

python 抓包与解包

SELinux

selinux 的使用

关闭selinux,及/etc下selinux/config和sysconfig/selinux区别

python mitmdump抓包与redis订阅消息