Linux系统下的selinux管理

##1.内核级防火墙 selinux##

 1.三种级别

   1 (Enforcing)强制：警告，并拒绝访问

   0 (Permissive)警告：不被拒绝，但会产生警告日志

   (Disabled)关闭：不被拒绝，可正常访问

 2.安全标签：安全上下文

   当selinux插件处于关闭状态，vsftp服务无安全标签

   当selinux插件处于强制/警告状态，重启时给所有服务添加安全标签（例 ps  auxZ  |  grep  vsftpd）

##2.selinux 级别管理 ##

1.selinux配置文件  /etc/sysconfig/selinux

2.selinux级别信息

   查看selinux级别  getenforce

   设置selinux级别  setenforce   0 | 1

   注意：强制和警告级别可相互切换，但若关闭selinux插件，修改配置文件后必须reboot；

                若打开selinux插件，同样必须reboot；

 3.selinux 不同级别的文件管理

   disable    ##客户端可看到移动到pub目录的文件

   服务端建立文件，并移动到默认发布目录下：

客户端登陆，可正常显示

  Enforcing   ##客户端不能看到移动到pub目录的文件

   服务端建立文件，并移动到默认发布目录下：

 客户端登陆，只能显示之前的文件，不能显示新建的westos文件

Permissive   ##客户端可看到移动到pub目录的文件，但会产生警告日志

   服务端建立文件，并移动到默认发布目录下：

客户端登陆，可看到所有文件，但浏览file文件时会产生警告日志

##3.文件的安全上下文设置##

 1.实验环境（修改ftp的默认发布目录）  

   配置文件  /etc/vsftpd/vsftpd.conf

注意：需要新建相关目录和文件

2.查看文件安全上下文   ls  -Z  文件绝对路径

   查看目录安全上下文    ls  -Zd  目录绝对路径

 

 3.临时修改上下文，重启后失效    ##命令行chcon

  chcon   -t  安全上下文类型  目录绝对路径  -R（递归）

 修改前，安全上下文类型为default_t，用户登陆后无法查看

修改后，安全上下文类型为public_content_t，登陆后：

4.永久修改上下文   ##安全上下文列表

   查看安全上下文列表  semanage   fcontext

将指定目录加入安全上下文列表

重新加载安全上下文列表  restorecon  - RvvF

5.此时匿名用户登陆时，可正常访问

##4.selinux 的bool值## 

  1.查看selinux中服务的bool值  getsebool -a

  2.修改sebool值，打开服务

    setsebool    -P    ftp_home_dir    1

    -P   ##永久修改      0  ##关闭服务      1  ##开启服务

3.打开ftp_home_dir功能时，本地用户登陆后具备相应权限