1SELinux的意义
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则),以此提高系统安全性
2.selinux的管理
getenforce命令可查看SELinux的状态
selinux有三种状态: enforcing强制 (开启状态,禁止访问);permissive警告(开启状态,不禁止访问,会有警报) ; disabled关闭
selinux的配置文件:/etc/sysconfig/selinux ,更改设定之后必须重启才能生效、
setenforce 0 | 1 ##在selinux开启时修改selinux的状态 (0:切换至permissive;1:切换至enforcing)切换至root用户才可操作
3.安全上下文
安全上下文是一个访问控制属性。在SELinux中,类型标识符是安全上下文中决定访问的主要的部分
ls -Z ##检查文件、目录的安全上下文
修改文件的安全上下文有两种方式,以一种是chcon命令,一种是semanage命令。
1)chcon命令
用chcon命令修改文件安全上下文是临时的,当selinux关闭再打开时会恢复原来的安全上下文
2)semanage命令
用semanage命令可以以直接修改文件的方式永久修改文件的安全上下文,修改后在系统重启之后才会生效,或者使用restorecon -RvvF /ftpuserhome/命令使其生效
4.查看并更改selinux对相关功能的限制
getsebool -a | grep ftp ##selinux对ftp服务的限制
将selinux状态修改为enforcing后,列表中显示为off的功能将受到限制不能使用
将off的开关打开变为on状态,则selinux对该功能将不做限制
修改后发现依旧无法上传,需要把/var/ftp/pub目录的安全上下文修改为可写,原本并没有可写权限
对selinux的操作会在audit.log和messages文件中产生日志,audit.log文件中是selinux产生的原始日志,而messages文件中有报错的解决方法,如果卸载setroubleshoot-server功能的话也将失去提供解决方法的功能
yum remove setroubleshoot-server