`
lht
  • 浏览: 199132 次
  • 来自: 深圳
社区版块
存档分类
最新评论

华盾SELINUX问题

阅读更多

华盾作为一个强制安装的内容过滤系统,无法适应SELINUX安全规则。必须手动设置新的安全规则。主要的问题是:

1. mod_ibsys.so

1.1 作为apache的动态加载模块,需要设置

$ sudo chcon -t httpd_modules_t mod_ibsys.so

 

1.2 需要设置正确的execstack属性,防止缓冲区溢出攻击

$ sudo execstack -c mod_ibsys.so

 

2. ibsysServer 和 manutil.exe

1.1 ibsysServer和manutil.exe作为httpd启动后的新的进程,没有合适的domain类型,初步设置为httpd_exec_t

$ sudo chcon -t httpd_exec_t ibsysServer

$ sudo chcon -t httpd_exec_t manutil.exe

 

1.2 ibsysServer 最大的问题在于没有正确的execmem权限设置!安全类公司对操作系统本身的安全机制不了解,是个很大的问题。

 

3. ibsserverpipe和ibsserverpipe_w

这两个命名管道估计是mod_ibsys.so和ibsysServer通讯用的。也没有正确的selinux类型,先设置成httpd_sys_content_t

 

4. 管理页面目录需要设置成httpd_sys_content_t

 

5. 修复缺少的type和domain

5.1 生成type enfore文件(最大的缺点是execmem权利,慎用)

$ audit2allow -a -m ibsys > ibsys.te

$ cat ibsys.te

 

module ibsys 1.0;

 

require {

        type httpd_t;

        type httpd_sys_content_t;

        class process execmem;

        class fifo_file { read write create unlink getattr };

}

 

#============= httpd_t ==============

allow httpd_t httpd_sys_content_t:fifo_file { read write create unlink getattr };

allow httpd_t self:process execmem;


5.2 检查te文件是否正确,并生成.mod文件
$ checkmodule -M -m -o ibsys.mod ibsys.te

5.3 生成策略包文件
$ semodule_package -o ibsys.pp -m ibsys.mod

5.4 安装新的策略
$ sudo /usr/sbin/semodule -i ibsys.pp

然后重新启动httpd就可以看到正常的华盾管理界面了。

 

分享到:
评论

相关推荐

    华盾绿色文件加密工具

    【华盾绿色文件加密工具】是一款专为个人和企业用户设计的免费文件加密软件,它以其小巧、便捷的特性赢得了用户的青睐。尽管该软件已经不再进行版本更新,但其核心功能依然有效,能够满足现代用户对数据安全的需求。...

    华盾防火墙 v1.0.zip

    华盾防火墙: 1、加软防护更安全 2、与代码无任何冲突 华盾防火墙操作简单,只需引入firewall.php即可! demo文件夹含演示文件(分2个版本)

    华盾服务器管理专家 3.0.3.78.rar

    华盾的技术团队深刻的体验到管理服务器的困难,所以一开始,就希望能提供这么一个软件,能把管理服务器中的种种问题,通过软件来减轻服务器管理人员的负担,让管理变得轻松起来。而这就是《华盾服务器管理专家》被...

    华盾信息备案管理系统

    华盾信息备案管理系统是严格根据工信部备案系统接口要求自主设计开发的一套ISP 服务商企业侧备案管理系统,与省、部级备案管理系统通过接口标准规范进行连接实现数据上传、下载。 【软件功能】 1、为ICP报备单位...

    华盾服务器管理专家使用手册

    - **在线支持**:用户可直接访问华盾官方网站的服务支持频道获取常见问题解答和技术文档等资源。 - **客服邮箱**:kf@huadunsoft.com - **联系电话**:0755-89809099-810 - **通信地址**:深圳市福田区八卦三路88号...

    华盾服务器信息安全监控管理系统 v2.1.3.66 Win apache版

    华盾服务器信息安全监控管理系统2.1.3.66 Windows apache版1.增加了URL黑白名单2.增加了目录文件黑白名单3.修正了不能拦截cgi方式装载的php的问题4.修正了当页面URL没有文件后缀时,拦截失效的错误5.修正浏览页面拦截...

    华盾防火墙 v1.0

    在PHP源码领域,安全问题是开发者关注的重点。华盾防火墙的出现,为PHP应用提供了额外的安全保障。它通过引入`firewall.php`这一核心文件,轻松集成到现有的PHP项目中,无需复杂的配置过程,大大降低了部署的难度。...

    华盾服务器信息安全监控管理系统 v2.1.3.52 Linux apache版

    华盾服务器信息安全监控管理系统2.1.3.52 Linux apache版1.增加了URL黑白名单2.增加了目录文件黑白名单3.修正了不能拦截cgi方式装载的php的问题4.修正了当页面URL没有文件后缀时,拦截失效的错误5.修正浏览页面拦截时...

    华盾服务器流量监控-小巧的网络流量统计工具

    3. **报警设置**:当网络流量超过预设阈值时,华盾会触发报警机制,通过邮件、短信或其他通知方式提醒管理员,确保问题能被及时处理,避免因流量超出限制导致的服务中断。 4. **多服务器管理**:对于拥有多个服务器...

    《华盾服务器管理专家》的许可证配置使用.doc

    《华盾服务器管理专家》是一款专业的企业级服务器管理软件,旨在提供全面的服务器监控与管理功能,确保企业网络环境的安全与稳定。本文将详细介绍《华盾服务器管理专家》的许可证配置、更新与使用方法,帮助用户更好...

    华盾网卡保护工具4.0

    华盾网卡保护工具,基本上可以不怕网卡抾协,安全放心工作,

    基于PHP的华盾防火墙源码.zip

    基于PHP的华盾防火墙源码.zip

    PHP实例开发源码-PHP华盾防火墙源码.zip

    PHP实例开发源码—PHP华盾防火墙源码.zip PHP实例开发源码—PHP华盾防火墙源码.zip PHP实例开发源码—PHP华盾防火墙源码.zip

    PHP实例开发源码——PHP华盾防火墙源码.zip

    【标题】"PHP实例开发源码——PHP华盾防火墙源码.zip" 是一个包含PHP编程语言实现的防火墙源代码的压缩包。这个防火墙可能是用于网站安全防护的,帮助抵御恶意攻击和非法访问,保护服务器和用户数据的安全。 在PHP...

    华盾服务器管理专家(兼容64位) v3.0.3.25 IIS

    华盾服务器管理专家是一款服务器日常维护管理软件,集华盾独创的“WEB一站式管理”、用户权限管理、信息管理管理、性能管理管理、网站安全管理、主机维护管理、网站备案管理、网站维护管理、网络防火墙管理、系统...

    win2003遭受udp攻击导致带宽占用很大

    果然 也有朋友遇到这样的情况,看来封禁对外udp是很必要的, 以下为转帖: 关于近期一些服务器遭受UDP攻击的说明 近来我有一两台服务器显示经常受到udp攻击 导致服务器带宽占用到100%,用华盾查流量占用也无法查到具体...

    矿用可移动式救生舱使用说明书范本.doc

    华盾 KJYF-96/16 矿用可移动式救生舱结合了综合安全防护、氧气供给、空气净化、环境监测、温湿度调节、通信、照明和指示系统以及生存保障等功能,能在矿难发生时抵挡爆炸冲击、高温烟气和冒顶坍塌,隔绝有毒有害...

    上位机开发资料_SV20171224,上位机编写,Java

    5. **通讯软件DEMO**:这个压缩包中的"华盾上位机通讯软件demo"可能是为开发者提供的一个示例程序,展示了如何使用Java实现TCP和HTTP通讯。DEMO通常包含基础功能的实现,帮助开发者快速理解和入门,为进一步的定制...

Global site tag (gtag.js) - Google Analytics