一、Selinux的功能
selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文(context)
对于程序功能的影响:
当selinux程序开启后会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
二、selinux的状态及管理
开启
vim /etc/selinux/config
#其中的SELINUX=disabled,指的是服务关闭;若为enforcing,指的是此服务开机设定为强制状态;若为permissive,指的是此服务开机设定为警告状态
#selinux服务开启或关闭需要重启系统
enforcing :不符合条件一定不能被允许,并会收到警告信息
permissive :不符合条件被允许,并会收到警告信息
getenforce #查看selinux状态
selinux开启后强制和警告级别的转换
setenforce 0 #警告
setenforce 1 #强制
selinux日志位置
/var/log/audit.log
setsebool -P ftpd_anon_write on #开启匿名用户访问
三、selinux的安全上下文
临时修改安全上下文
chcon -t public_content_t /westosdir1/
chcon -Rt public_content_t /westosdir1/ #修改目录及目录中所有子文件的安全上下文
ls -Z #查看文件安全上下文
ls -Zd #查看目录的安全上下文
ls axZ #查看进程的安全上下文
touch /.autorelabel #此文件存在selinux在开机时会自动初始化文件标签
永久更改
semanage fcontext -l | grep /var/ftp #查看内核安全上下文列表
semanage fcontext -a -t public_content_t ‘/westosdir1(/.*)?’ #修改安全上下文,(/.*)指的是westosdir1的子文件
restorecon -RvvF /westosdir1 #刷新
四、SEBOLL
getsebool -a | grep ftp #现实服务的bool值
setsebool -P ftpd_anon_write off #更改为关闭
五、SEPORT
semanage port -a -t ssh_port_t 1111 -p tcp #添加1111端口
semanage port -l | grep ssh #查看
semanage port -d -t ssh_port_t 1111 -p tcp #删除1111端口
六、setrouble
/var/log/audit/audit.log #selinux警告信息
/var/log/messages #selinux问题解决方案
setroubleshoot-server #此软件功能是采集警告信息并分析得到解决方案存放到messages
测试:
> /var/log/audit/audit.log #清空日志
> /var/log/messages #清空日志
touch /mnt/lee
mv /mnt/lee /var/ftp #将lee移到ftp发布目录
lftp 172.25.254.113 #ls
cat /var/log/audit/audit.log #能够看到警告信息
cat /var/log/messages #能看到警告信息和解决方案
rpm -qa | grep setrouble #查看setroubleshoot-server 服务
restorecon -RvvF /var/ftp/lee #按照提供的方案解决问题
dnf remove setroubleshoot-server-3.3.22-2.el8.x86_64 #删除此服务,此时做相同的动作,但看不到message内容
