selinux 内核型加强型火墙
对文件的作用处:加载安全上下文,功能控制,即添加功能开关
1.不安全因素功能控制:
添加功能开关 --------- getsebool
A.修改配置文件
vim /etc/sysconfig/selinux 修改配置文件 为 enforcing
getenforce 查看状态
此时配置文件为disabled 改为enforcing(强制) permissive(警告)
重启系统
修改成功
B.setenforce 0 改强制为警告
强制下建立文件被拒
C.setenforce 1 改警告为强制
警告可建立文件给警告
强制不可建立文件同时警告
2.更改文件安全上下文
A.临时更改
(1)chcon -t public_content_t /ftphome/ -R (R表示第归包含其根下的目录)
(2)将匿名用户的家目录改为/ftphome
vim /etc/vsftpd/vsftpd.conf
17 anon_root=/ftphome
(3)重启服务systemctl restart vsftpd
B.永久更改
1.semanage fcontext -a -t public_content_t 'ftphome(/.*)?'
2.semanager fcontext -l | grep /ftphmoe 查看
3.restorecon -RvvF /ftphome 刷新并查看目录下所有文件,其安全上下文也已经被修改
(/.*)? 表示目录及其内部东西
匿名用户上传 前提警告模式可以上传
vim /etc/vsftpd/vsftpd.conf
17 anon_root=/ftphome
强制模式:
setsebool -P ftpd_anon_write on
永久修改开关
2. 只读改为读写
chcon -t public_content_rw_t /var/ftp/pub/
ls -Zd /var/ftp/pub/
3.检测
lftp 172.25.254.60
cd pub/
put /etc/passwd
3.自动检测日志
安装软件:
yum install setroubleshoot-server.x86_64 -y
日志所在位置:
cat /var/log/audit/audit.log
