Linux中内核级加强型火墙的管理（selinux）

Gong_yz

已于 2023-04-22 17:59:33 修改

阅读量104

点赞数 1

分类专栏： Linux 文章标签： linux 服务器运维

于 2023-01-12 22:24:05 首次发布

本文链接：https://blog.csdn.net/Gong_yz/article/details/128667214

版权

Linux 专栏收录该内容

24 篇文章 0 订阅

订阅专栏

文章目录

一、Selinux的功能
二、Selinux的状态及管理
三、Selinux的安全上下文
四、SEBOOL
五、SEPORT
六、setrouble

一、Selinux的功能

1.观察现象
**当Selinux未开启时**
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd 时显示：
- root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

**当selinux开启:**
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd 时显示：
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0 0.0 26952 412 ? Ss 10:50 
0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

2.selinux的作用：
对于文件的影响：
当selinux开启时，内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文（context）

对于程序功能的影响：
当selinux开启会对程序的功能加载开关，并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

在这里插入图片描述

二、Selinux的状态及管理

selinux的开启
vim /etc/selinux/config     ##与/etc/sysconfig/selinux链接到前文件，理解为是同一个文件
7 SELINUX=disabled          #selinux关闭
7 SELINUX=enforcing         #selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive        #selinux开机设定为警告状态此状态为selinux开启
"selinux开启或关闭需要重启系统"“selinux是内核级插件，所以需要重启”

enforcing：
不符合条件一定不能被允许，并会收到警告信息
permissive：
不符合条件被允许，并会收到警告信息

selinux状态的查看：
getenforce
selinux     开启后强制和警告级别的转换
setenforce 0    ##警告
setenforce 1    ##强制

selinux日志位置：
/var/log/audit/audit.log

在这里插入图片描述

三、Selinux的安全上下文

1.查看
ls -Z     ##查看文件的安全上下文
ls -Zd    ##查看目录的安全上下文
ps axZ    ##查看进程的安全上下文

2.修改安全上下文
①临时修改
#此方式更改的安全上下文在selinux重启后会还原
chcon -t     标签              文件|目录
chcon -t  public_content_t   /var/ftp/westosfile1
chcon -Rt public_content_t   /westosdir           #修改目录及目录中的所有子文件的安全上下文

②永久修改安全上下文
#如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l                      ##查看内核安全上下文列表；semanage fcontext -l   | grep ***
semanage fcontext -a -t public_content_t '/westosdir(/.*)?'  
                ##westosdir目录里面出现的所有内容安全上下文均改变为public_content_t
                ##不加(/.*)，表示仅仅是目录本身安全上下文改变
restorecon -RvvF /westosdir/               ##刷新
touch /.autorelabel                        ##重启系统时selinux初始化文件标签开关文件

四、SEBOOL

用来表示开关，只有两个值，1/0；off/on;等等

getsebool -a                      ##现实服务的bool值；getsebool -a  | grep ****
setsebool -P ftpd_anon_write on   #更改

五、SEPORT

semanage port -l | grep ssh                  ##查询selinux端口
semanage port -a -t ssh_port_t -p tcp 1111   ##更改端口

semanage port -d -t ssh_port_t -p tcp 1111   ##删除端口

六、setrouble

功能：采集警告信息，并分析得到解决方案存放到message中

#/var/log/audit/audit.log      ##selinux警告信息/selinux日志
#/var/log/messages             ##selinux问题解决方案
#setroubleshoot-server         ##此软件功能是采集警告信息，并分析得到解决方案存放到message中

semanage port -d -t ssh_port_t -p tcp 1111
> /var/log/audit/audit.log     ##清空日志
>/var/log/messages             ##清空解决方案文件

systemctl restart sshd
systemctl stop sshd