『2-9』Linux之内核级加强型火墙的管理
一、Selinux的功能
1.观察现象
当Selinux未开启时
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示“?”
ps auxZ | grep vsftpd时显示:
打开selinux
vim /etc/selinux/config
reboot
会在开机界面重新建立索引,比较慢
当selinux开启:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp 查看文件时显示信息
ps auxZ | grep vsftpd 时显示:
selinux:
对于文件的影响:
当selinux开启会对程序的功能加载开关,并设定此开关为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
二、Selinux的状态管理
1.selinux的开启
vim /etc/selinux/config
SELINUX=disabled selinux关闭
SELINUX=enforcing selinux开机设定为强制状态,此状态为selinux开启
SELINUX=permissive selinux开机设定为警告状态,此状态为selinux 开启
selinux开启或关闭需要重启系统
enforcing
不符合条件一定不能被允许,并会收到警告信息
permissive
不符合条件被允许,并会收到警告信息
selinux状态的查看:
getenforce
selinux开启后强制和警告级别的转换
setenforce 0 警告
setenforce 1 强制
重启会还原
selinux未开启时,setenforce无效
selinux日志位置:
/var/log/audit/audit.log
三、Selinux的安全上下文
1.查看
ls -Z 查看文件的安全上下文
ls -Zd 查看目录的安全上下文
touch /.autorelabel
reboot
ps axz 查看进程的安全上下文
2.修改安全上下文
临时修改
此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir1 修改目录及目录中的所有子文件这安全上下文
永久修改安全上下文
如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l 查看内核安全上下文列表
[root@node226 mnt]# semanage fcontext -l | grep /var/ftp/
semanage fcontext -a -t public_content_t '/ricky(/.*)?'
restorecon -RvvF /ricky/
touch /.autorelabel 重启系统时selinux初始化文件标签开关文件
[root@node226 ~]# touch /.autorelabel
[root@node226 ~]# reboot
状态仍然存在
四、SEBOOL
getsebool -a 现实服务的bool值
setsebool -P ftpd_anon_write on 更改
[root@node226 ~]# setsebool -P ftpd_anon_write on
五、SEPORT
semanage port -l |grep ssh
[root@node226 ~]# getenforce
Permissive ##警告模式,未经允许可通过
[root@node226 ~]# setenforce 1 修改为强制模式,未经允许不可通过
[root@node226 ~]# getenforce
Enforcing
semanage port -a -t ssh_port_t -p tcp 1111
semanage port -d -t ssh_port_t -p tcp 1111 端口删除
六、setrouble
/var/log/audit/audit.log selinux警告信息
/var/log/messages selinux 问题解决方案
setroubleshoot-server 此软件功能是采集警告信息并分析得到解决方案存放到message中
/var/log/audit/audit.log
/var/log/messages
touch /mnt/lee
mv /mnt/lee /var/ftp
lftp localhost
ls