运维之监控与安全篇------2.SELinux安全防护 、 加密与解密

最新推荐文章于 2024-10-17 18:35:15 发布
最新推荐文章于 2024-10-17 18:35:15 发布
阅读量937 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: gpg md5 selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixihahalelehehe/article/details/78563174
本文详细介绍了SELinux安全模型及其配置方法,并演示了如何使用GPG进行非对称加密及签名验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、SELinux
1介绍linux安全保护模型:
:  DAC(Discretionary Access control )自主访问控制--所有者对自己的资源负责 应用:9位权限码(rwx) ACL策略
:  MAC(Mandatory Access control) 强制访问控制--管理员对所有的资源负责 应用:selinux 多级安全
Selinux是什么?MAC扩展模块 美国国家安全局主导开发
运行机制:2.6集成到内核
2策略集:
:SELINUXTYPE=targeted 仅保护最常见的关键的网络服务 软件包;selinux-policy  selinux-policy-targeted  libselinux-utils  coreutils  policycoreutils
:SELINUXTYPE=mls  提供多层次全方位的安全防御策略 软件包:selinux-policy-mls  mcstrans  policycoreutils-newrole
3模式控制:
#sestatus   #查看selinux状态
#getenforce #查看selinux状态
#setenforce 1/0  临时改变selinux配置
#vim /etc/selinux/conf   #永久改变配置
SELINUX=disabled 以禁用
SELINUX=permissive 宽松/允许模式
SELINUX=enforcing 强制模式   
selinux的类型:  targeted    MLS                      

4安全上下文的组成()
为文件/目录/设备标记访问控制属性
用户:角色:访问类型:选项...
 查看安全上下文   -Z
查看进程   ps  aux  -Z  |  grep  进程名
                ps  -Z   -C  进程名
查看文件   ls   -Zd  目录名
查看目录  ls   -Z  文件名
常见访问类型:
Bin_t                  二进制执行文件
Etc_t                  系统配置文件
Fsadm_exec_t         文件系统管理文件
Admin_home_t          管理员账户文件
User_hoem_t           普通用户的宿主文件
http_sys_content_t httpd网站内容
public_content_t     #共享文件

5 启用selinux后遵循的一般规律
创建新文件或新目录,  继承父目录的安全上下文
移动文件或目录,保持原有的安全上下文不变
拷贝文件或目录,继承目标目录的安全上下文

6 修改访问类型
#chcon  -R  -t  访问类型  目录名
#chcon   -t  访问类型  文件名
#chcon -u -r 分别指定用户、角色
7.  恢复访问类型
# restorecon   文件名
#touch /.autorelabel 下次重启后全部重置

8实践操作验证(布尔值运用与chcon作用)

点击打开链接

#Yum -y install vsftpd
#yum -y install ftp
#Vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES    //开启匿名访问
write_enable=YES
anon_umask=022
anon_upload_enable=YES       //允许上传文件
anon_mkdir_write_enable=YES     //允许上传目录
#chown ftp /var/ftp/pub
#systemctl restart vsftpd
#ls > test.txt
#ftp 192.168.4.20
Passwd:
ftp>cd pub
ftp>put test.txt  #尝试上传测试文件
失败
Quit
调节布尔值:
 selinux布尔值(功能开关)
查看布尔值  getsebool   -a     | grep  -i  服务名
查看布尔值  getsebool   -a
修改布尔值  setsebool    -P   选项   on|off
                  setsebool    -P   选项=1|0
*******************************************************************
#setsebool -P allow_ftpd_anon_write=1         //设置布尔值    *
#setsebool -P allow_ftpd_full_access=1                      *
#getsebool -a |grep allow_ftpd                 //确认修改结果 *
********************************************************************
#allow_ftpd_anon_write --> on
#allow_ftpd_full_access --> on
#ftp 192.168.4.20
ftp>put test.txt  #上传测试文件成功
Ok to send data
从/root目录下移动一个包文件到FTP下载目录,调整文件的安全上下文
关闭FTP布尔值allow_ftpd_full_access以便测试因为开启此项会扩大FTP目录的访问权限(忽略安全上下文),建议先将其关闭。
#tar -zcf /var/ftp/a1.tar.gz a.txt 在目录下创建
#tar -zcf a2.tar.gz a.txt          #移动
#mv a2.tar.gz /var/ftp/
另一台虚拟机下载这两个文件
#wget ftp://192.168.4.10/a1.tar.gz 成功
#wget ftp://192.168.4.10/a2.tar.gz失败
#ls -Z /var/ftp/
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 /var/ftp/a1.tar.gz
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /var/ftp/a2.tar.gz
# chcon -t public_content_t /var/ftp/d2.tar.gz
#wget ftp://192.168.4.10/a2.tar.gz a2下载成功

9 查看selinux报错信息
[root@10 ~]# rpm -qa | grep setroubleshoot
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-3.2.24-1.1.el7.x86_64
setroubleshoot-server-3.2.24-1.1.el7.x86_64
#grep   setroubleshoot   /var/log/message  | tail  -1
#sealter  -l   字符串
++++++++++++++++++++++++++++++++
二、数据加密与解密
1.传递风险:流量控制、电脑黑客、出差人员、离职人员、合作伙伴、商业间谍、高官习惯、开发人员
2. 加密?发送方:明文---密文
解密? 接受方:密文---明文
 算法?   计算规则  或  算法
生活中邮寄信件;两张大小A4纸,一张写满文字故事,一张抠窟窿显示传达信息。 
3.加密类型: 
对称加密:加密解密用同一个密钥 
:DES data Encryption standard
:AES Advaced Encryption Standard
非对称加密: (使用密钥对) 公钥加密    私钥解密
: RSA Rives Shamirs Adleman 
: DSA Digital Signature Algorithm

4.保护信息的完整性:
信息摘要:
常用的加密算法:Hash散列技术用于信息摘要(文本不同,摘要不同)
MD5,Message Digest Algorithm 5
SHA,Secure Hash Algorithm

5.检查校验值

#vim file1.txt
#cp file1.txt file2.txt
#cat file1.txt > file3.txt
#md5sum file?.txt                 //文件内容一致,则校验和也不变
#echo "x"md5sum file?.txt
# >> file1.txt
#md5sum file?.txt   #检验和已经改变file1,file2与file2仍相同


6.GPG 非对称加密

非对称加密/解密文件时,发送方(UserA)以接收方(UserB)的公钥加密文件,接收方以自己的私钥解密
1.接收方UserB创建自己的公钥、私钥对,执行gpg --gen-key操作,根据提示选择并创建密钥:
2.[UserB@pc207 ~]$ gpg --gen-key
1.请选择您要使用的密钥种类:
2.(1) RSA and RSA (default)
3.(2) DSA and Elgamal
4.(3) DSA (仅用于签名)
5.(4) RSA (仅用于签名)
6.您的选择?                                             //直接回车默认(1)
7.RSA 密钥长度应在 1024 位与 4096 位之间。
8.您想要用多大的密钥尺寸?(2048)                             //接受默认2048位
9.您所要求的密钥尺寸是 2048 位
10.请设定这把密钥的有效期限。
11.0 = 密钥永不过期
12.<n> = 密钥在 n 天后过期
13.<n>w = 密钥在 n 周后过期
14.<n>m = 密钥在 n 月后过期
15.<n>y = 密钥在 n 年后过期
16.密钥的有效期限是?(0)                                     //接受默认永不过期
17.密钥永远不会过期
18.以上正确吗?(y/n)y                                         //输入y确
2.接收方UserB导出自己的公钥文件;用户的公钥、私钥信息分别保存在pubring.gpg和secring.gpg文件内
[UserB@pc207 ~]$ gpg --list-keys                         //查看公钥环
/home/UserB/.gnupg/pubring.gpg
[UserB@pc207 ~]$ gpg --list-secret-keys
/home/UserB/.gnupg/secring.gpg                         //查看私钥环
使用gpg命令结合--import选项将其中的公钥文本导出,传给发送方UserA:
[UserB@pc207 ~]$ gpg -a --export UserB > /tmp/UserB.pub
[UserB@pc207 ~]$ ftp 192.168.4.7
Name (192.168.4.7:UserB): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> lcd /tmp/
Local directory now /tmp
ftp> put UserB.pub                          //通过FTP将公钥传给发送方主机
local: UserB.pub remote: UserB.pub
227 Entering Passive Mode (192,168,4,6,59,39).
150 Ok to send data.
226 Transfer complete.
1719 bytes sent in 0.000127 secs (13535.43 Kbytes/sec)
ftp> quit
221 Goodbye.
3.发送方UserA导入接收方的公钥信息
使用gpg命令结合--import选项导入发送方的公钥信息,以便在加密文件时指定接收人来调用对应的公钥。
[UserA@svr7 ~]$ gpg --import /var/ftp/pub/UserB.pub
[UserA@svr7 ~]$ echo "I love you ." > tosend.txt
[UserA@svr7 ~]$ gpg -e -r UserB tosend.txt
[UserA@svr7 ~]$ exit
logout
[root@svr7 ~]# cp /home/UserA/tosend.txt.gpg /var/ftp/tosend.txt.gpg
4.接收方UserB收取加密文件,以自己的私钥解密文件
[UserB@pc207 ~]$ wget ftp://192.168.4.7/tosend.txt.gpg
[UserB@pc207 ~]$ gpg -d tosend.txt.gpg > tosend.txt
[UserB@pc207 ~]$ cat tosend.txt                      //获得解密后的文件内容
I love you .
***************************************
7.使用GPG实现软件包的完整性校验,检查软件包签名
1.在pc207上,作者UserB为软件包创建分离式签名,将软件包、签名文件、公钥文件一起发布给其他用户下载,。
[UserB@pc207 ~]$ tar zcf tools-1.2.3.tar.gz /etc/hosts      //建立测试软件包
[UserB@pc207 ~]$ gpg -b tools-1.2.3.tar.gz                  //创建分离式数字签名
[UserB@pc207 ~]$ ls -lh tools-1.2.3.tar.gz* UserB.pub
-rw-rw-r--. 1 UserB UserB 170 8月  17 21:18 tools-1.2.3.tar.gz
-rw-rw-r--. 1 UserB UserB 287 8月  17 21:22 tools-1.2.3.tar.gz.sig
-rw-rw-r--. 1 UserB UserB 1.7K 8月  17 21:26 UserB.pub
[root@pc207 ~]# yum -y install vsftpd
[root@pc207 ~]# cp /home/UserB/tools-1.2.3.tar.gz* /var/ftp/
[root@pc207 ~]# cp /home/UserB/UserB.pub /var/ftp/
[root@pc207 ~]# service vsftpd start
2.在svr7上,下载软件包并验证官方签名。下载主机pc207发布的UserB的软件包、签名、公钥,导入UserB的公钥后即可验证软件包的完整性。
[root@svr7 ~]# wget ftp://192.168.4.207/tools-1.2.3*
[root@svr7 ~]# wget ftp://192.168.4.207/UserB.pub
[root@svr7 ~]# gpg --import UserB.pub                      //导入作者的公钥信息
[root@svr7 ~]# gpg --verify tools-1.2.3.tar.gz.sig tools-1.2.3.tar.gz





















selinux安全防护;数据 加密 解密;抓包扫描;协议分析软件的使用
Rio520的博客
04-11 899
一、selinux安全防护 二、数据 加密 解密 三、抓包扫描 四.协议分析软件的使用 ++++++++++++++++++++++++++++++ 一、selinux安全防护 1.1 selinux 介绍 是一套强化linux安全的MAC扩展块 美国国家安全局主导开发 集成到linux内核(2.6及以上) 操作系统提供可定制的策略。管理工具 1.2 linux安全保护模型? linux保护...
自动化运维工具ansible(二)--- 安装、配置、ad-hoc、playbook
weixin_46074899的博客
03-08 2627
文章目录1. ansible的安装2. ansible的配置2.1 hosts的写法2.1.1 查看hosts列表2.1.2 群组整合2.1.3 变量分群组2.1.4 组合调用2.1.5 在hosts中使用正则表达3. ansible的模块使用示例3.1 远程操作之复制文件3.2 远程创建用户3.3 远程安装、配置httpd3.4 远程配置防火墙3.5 远程配置mariadb 1. ansible的安装 配置虚拟机可以上网 配置yum源 1)可以通过epel镜像配置方法编写 安装epel配置包
SELinux的多层安全机制
hongbochen1223的专栏
05-07 274
类型强制策略相比SELinux引入的MAC(强制访问控制)是比较遥远的。然而,在一些情况下,特别是在分类的政府应用的子集中,传统的MLS(多层安全机制)强制访问控制加上TE是非常有价值的。在意识到 这个情形之后,SELinux也包括一些MLS的形式。在SELinux中,MLS的特征是可选的,并且相比两个强制访问控制机制来说是次要的。对于绝大部分安全应用来说,包括许多没有很少有数据分类的应用来说...
安全防护以及运维相关
一名普通码农的菜地
05-29 571
前言 计算机网络安全是很紧要的一件事。 最近沸沸扬扬的托库什么的让人亚历山大。 目录 nginx跨域 centos安装nginx 使用druid链接pgbouncer时候 unsupported startup parameter: extra_float_digits 数据库连接池中间件-pgbouncer [centos]安全加固 [postgresql]自动备份实践 ...
运维安全】带你熟悉常见的安全防御
互联网老辛
01-03 2512
常见的攻击手段 拒绝服务(DOS):通过大量的访问请求使服务器资源耗尽,无法向正常用户处理请求连接。常见的解决手段是:使用云服务商的流量清洗功能。 阿里,AWS 把所有的流量导向阿里云的清洗池,通过清洗池进行处理请求,进行判断哪些是正常的服务,然后把正常的服务导向你的服务器。 口令破解:常见攻击手法-跑字典, 常用解决方案是使用fail2ban等类似的工具来限制。 已知漏洞:通过已知漏洞进行数据获取或者提权,常见的解决方案是更新防御性补丁 欺骗权限用户:又叫社会工程学,通过欺骗权限用户得到授权资格的
通过两个案例初步了解Linux下selinux安全机制工作机制
weixin_33751566的博客
12-16 180
  另一个博客地址:www.rsyslog.org  Linux社区 通过两个案例初步了解Linux下selinux安全机制工作机制 SELinux2.6 版本的 Linux 内核中提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务...
基础运维-杂乱-持续更新.......
kehana的博客
06-04 1万+
………………………………………………华丽丽的分割线……………………………………………………………………… 前方高能预警,非战斗人员撤退 ………………………………………………华丽丽的分割线………………………………………………………………………… 一:修改服务器密码 1:在进入系统开机步骤之前按上下键选中你的操作系统 2:按“e”进入编辑模式,修改linux16那一行 ro以及之后的内容全部...
Linux应用-加密安全
qq_41596208的博客
02-22 2272
Linux应用-加密安全加密安全一、grep1. grep概念 加密安全 一、grep 1. grep概念
linux-运维自动化之ansible
m0_71514530的博客
09-12 695
YAML是一个可读性高的用来表达资料序列的格式。YAML参考了其他多种语言,包括:XML、C语言、Python、Perl以及电子邮件格式RFC2822等。Clark Evans在2001年在首次发表了这种语言,另外Ingy döt NetOren Ben-Kiki也是这语言的共同设计者YAML Ain't Markup Language,即YAML不是XML。不过,在开发的这种语言时,YAML的意思其实是:"Yet Another Markup Language"(仍是一种标记语言)特性。
信息安全技术(第2版)-课后习题答案
m0_73104820的博客
10-17 1833
以下( BCD )动作可以配置为SMTP的反病毒动作。阻断警告宣告删除附件以下关于入侵防御说法不正确的是( D )。IPS支持直路部署IPS不仅可以检测入侵行为,而且可以在线阻断可以对病毒入侵进行防御IPS 防火墙联动可以实现实时阻断功能针对入侵检测系统描述正确的是( ACD )。(多选)入侵检测系统可以通过网络和计算机动态地搜集大量关键信息资料,并能及时分析和判断整个系统环境的目前状态。
java 加密解密 算法
07-11
java加密解密java加密解密java加密解密java加密解密java加密解密java加密解密java加密解密java加密解密
Linux基本防护 用户切换提权 SSH访问控制 SELinux安全 、 SSH访问控制 SELinux安全
jackjack博客
10-06 536
Linux基本防护 用户切换提权 SSH访问控制 SELinux安全 、 SSH访问控制 SELinux安全 Linux基本防护 用户切换提权 SSH访问控制 SELinux安全 、 SSH访问控制 SELinux安全 ...
云服务器运维实例及安全防护
weixin_34226706的博客
03-17 799
案例呈现 某公司的服务器发生故障,首先是网站的带宽跑满,其次是CPU一直上不去。服务器架构只有简单的1个nginx负载和2台web。Web上面是2台有几个tomcat项目包   首先查看阿里云监控的流量图,我们可以看到正常流量。然后突然流量增加:这里CPU使用率一直特别高,使用top命令来查看进程,发现不是这里的问题。但是,看到web上面的tomcat项...
linux内核安全策略,SELinux 安全策略解析
weixin_29002961的博客
05-02 767
1、简介SELinux 是 Security-Enhanced Linux 的简称,是美国国家安全局(NSA=The National Security Agency) 和 SCC(Secure Computing Corporation)开发的基于 Linux 的一个强制访问控制安全模块扩展。原先是在 Fluke 上开发的,2000 年以 GNU GPL 协议发布。对于目前可用的 Linux 安...
又是你,SElinux安全子系统详解)
平庸
03-28 788
介绍了啥是SELinux,并且对其配置文件及服务进行了详细的说明。
java加解密算法
u010730870的博客
04-13 1万+
java加解密算法 最近在搞报文加解密的一些业务,一路总是坑坑洼洼的。 首先,部分内容是从别的地方搬运过来的。https://www.oschina.net/question/2534721_2143246?sort=default 知识点1: sonarLint对加密算法使用的一些规范: Encryption algorithms should be used with secure mode and padding scheme Vulnerability Blocker j.
SonarLint(代码质量检测工具+案例+好习惯养成器)
热门推荐
一个后端菜鸟的博客
06-28 3万+
个人笔记(我不是运维我也不是测试),不同意见,望有交流(代码质量检测) 这个东西是一个很好的插件,可以养成量好的代码习惯,一个好的程序员代码质量肯定是需要合格的。 SonarLint官网 官网的话:他可以通过在idea中直接通过插件安装 安装后重启就可以使用了 可以直接 ctrl +shift+s对当前文件扫描质量 或者右键文件夹对整个包或者模块项目全部质量扫描 .........
pythonAES加密中的一些报错
Pvr1sC的博客
02-13 3434
在使用AES加密中,出现报错 from Crypto.Cipher import AES import base64 cipher = "u0uYYmh4yRpPIT/zSP7EL/MOCliVoVLt3gHcrXDymLc=" cipher_str = base64.b64decode(cipher) key_str = "n1book" key_str = (key_str.ljust(32, " ")) iv_str = "123456" iv_str = (iv_str.ljust(16, " ")
Linux常用文件管理类命令
道不虚传只在人
09-20 642
引用块内容
怎么设置为群组里面的人可以读取该文件的内容但是不可以拷贝出去
最新发布
03-08
<think>好的,用户现在的问题是:“怎么设置为群组里面的人可以读取该文件的内容但是不可以拷贝出去”。我需要仔细思考这个问题,确保回答准确且有用。 首先,我需要理解用户的需求。用户希望群组成员能够读取文件内容,但无法复制出去。这听起来有点矛盾,因为通常读取权限允许用户查看内容,而复制可能需要写权限或者其他操作。但用户可能担心的是,即使有读取权限,用户仍然可以将文件复制到其他地方,比如通过重定向、复制命令等。所以用户想限制这种操作。 接下来,我应该回顾Linux文件权限的基础知识。标准的权限设置中,读(r)允许用户查看文件内容,写(w)允许修改,执行(x)对于脚本或程序是必要的。但是,如果用户有读权限,他们确实可以使用cp命令复制文件,或者用cat将内容输出到另一个文件。这意味着仅靠传统的Linux文件权限可能无法完全阻止拷贝行为,因为读权限本身就允许用户访问文件内容。 那么,用户的问题实际上是如何在允许读取的情况下防止复制。这时候可能需要考虑更高级的权限设置或安全机制。例如,访问控制列表(ACL)可以更细致地控制权限,但可能仍然无法阻止复制。另一种方法是使用文件系统加密或强制访问控制(如SELinux),但这可能比较复杂,特别是对于普通用户来说。 另外,可能需要考虑目录的权限。如果文件所在的目录没有写权限,群组成员可能无法在该目录下创建新文件,从而限制他们复制文件到同一目录,但这并不能阻止他们复制到其他有写权限的目录。 用户可能误解了Linux权限模型的能力。传统的权限模型主要控制读、写和执行,但无法直接阻止用户复制文件内容。一旦用户可以读取文件,他们就可以将内容传输到其他地方。因此,可能需要更高级的安全措施,比如加密文件,或者使用专门的工具来限制复制操作。 可能的解决方案包括: 1. 使用文件权限控制:设置文件为群组可读,但不可写。但这并不能阻止复制。 2. 使用目录权限:限制目录的写权限,防止在目录内创建副本,但不影响其他目录。 3. 使用SELinux或AppArmor:通过强制访问控制策略限制进程的行为,但配置复杂。 4. 加密文件:只有授权用户才能解密,但需要管理密钥。 5. 使用专用工具或脚本:监控或限制复制操作,但可能不现实。 需要向用户解释,传统权限无法完全阻止复制,但可以采取其他措施增加难度。同时,可能需要建议用户评估实际需求,是否有必要使用更高级的安全机制,或者调整权限结构以减少风险。 另外,用户可能是在企业或团队环境中,希望保护敏感数据。这时候可能需要综合使用多种方法,比如结合权限控制、监控和审计,以及培训用户遵守安全政策。 总结来说,回答需要明确传统权限的局限性,并提供可行的替代方案,同时管理用户的预期,说明完全防止复制在标准Linux环境下是困难的,但可以采取步骤降低风险。</think>在 Linux 系统中,**传统文件权限无法直接禁止用户复制文件**(因为读取权限本身就允许用户通过 `cat`、`cp` 等命令获取内容)。但可以通过以下方法 **提高门槛**,限制群组成员的操作: --- ### 方案一:基础权限控制(有限效果) ```bash # 设置文件权限为:所有者可读写,群组可读,其他人无权限 chmod 640 filename # 设置文件所属群组 chgrp group_name filename ``` - **效果**: - 群组成员能通过 `cat filename` 查看内容,但无法修改或删除文件。 - **局限性**:用户仍可通过 `cp filename ~/copy.txt` 复制文件。 --- ### 方案二:结合目录权限限制(增强控制) ```bash # 设置文件所在目录权限为:禁止群组成员写入 chmod g-w directory_name # 设置文件权限为群组可读 chmod g+r filename ``` - **效果**: - 群组成员能读取文件,但无法在目录内创建副本(`cp filename directory_name/copy.txt` 会失败)。 - **局限性**:用户仍可复制到其他有写权限的目录(如自己的家目录)。 --- ### 方案三:使用 SELinux/AppArmor(高级安全) 通过强制访问控制(MAC)策略限制进程行为: 1. **SELinux**:定义策略禁止特定用户或进程访问外部存储或网络。 2. **AppArmor**:限制指定程序(如 `cp`、`scp`)的权限。 - **优势**:可精细控制文件流出路径。 - **缺点**:配置复杂,需系统级权限和专业知识。 --- ### 方案四:加密文件内容(终极防护) ```bash # 用 GPG 加密文件,仅允许群组成员解密查看 gpg -c filename # 生成加密文件 filename.gpg rm filename # 删除原始文件 # 分发解密密钥给群组成员 gpg -d filename.gpg # 需输入密码解密 ``` - **效果**:无密钥者无法读取内容,即使文件被复制也无效。 - **缺点**:需额外管理密钥,操作流程复杂。 --- ### 总结 | 方法 | 效果 | 适用场景 | |---------------|--------------------------------|----------------------------| | 基础权限 | 限制简单操作 | 低敏感数据,快速设置 | | 目录权限 | 限制局部复制 | 控制文件存放位置 | | SELinux | 严格限制进程行为 | 高安全需求,有专业运维团队 | | 文件加密 | 彻底防止未授权访问 | 敏感数据,长期保护 | 实际场景中,**建议结合权限控制 + 审计监控**(如记录 `cp` 操作日志)来平衡便利性安全性。🐧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ghostwritten

口渴,请赏一杯下午茶吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值