单元2-9：Linux中内核级加强型火墙的管理

1.Selinux的功能

观察现象

当Selinux未开启时

在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd 时显示：
· - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/
vsftpd.conf

当selinux开启: 在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问

匿名用户通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd 时显示：
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0 0.0 26952 412 ? Ss
10:50 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux：

对于文件的影响：

当selinux开启时，内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文（context）

对于程序功能的影响：

当selinux开启会对程序的功能加载开关，并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

2.Selinux的状态及管理

selinux的开启

vim /etc/selinux/config

7 SELINUX=disabled —— selinux关闭
7 SELINUX=enforcing —— selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive —— selinux开机设定为警告状态此状态为selinux开启

“selinux开启或关闭需要重启系统”

enforcing：

不符合条件一定不能被允许，并会收到警告信息

permissive：

不符合条件被允许，并会收到警告信息

selinux状态的查看：

getenforce

selinux开启后强制和警告级别的转换

setenforce 0 警告
setenforce 1 强制

注意：setendorce 无法在 disabled 的模式下面进行模式的切换 ！！

selinux日志位置：

/var/log/audit/audit.log

3.Selinux的安全上下文

查看

ls -Z —— 查看文件的安全上下文
ls -Zd —— 查看目录的安全上下文
ps axZ —— 查看进程的安全上下文

输出中，安全环境主要用冒号分为三个字段 Identify (身份识别) ： role(角色) ：type (类型)

Identify (身份识别) ：相当于账号方面的身份识别

root , 表示 root 的账号身份
system_u , 表示系统程序方面的识别，通常就是程序
user_u , 表示一般账号用户相关的身份

role(角色) ：

object_r ,代表文件或目录等文件资源
system_r ,代表程序

type (类型) ： Domain 需要与 Type 搭配，程序才能顺利读地取文件资源 ！！

Type , 在文件资源(Object)中成为类型(Type)
Domain ,在主体程序 (Subject)中称为域 （Domain）

修改安全上下文

临时修改

此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir —— 修改目录及目录中的所有子文件的安全上下文

-R : 连同该目下的子目录也同时修改
-t [ type ] : 后接安全性环境的类型字段
-u [ user ] : 后接身份识别
-r [ role ] : 后接角色
– reference=范例文件

永久修改安全上下文

如果需要特殊指定安全上下文需要修改内核安全上下文列表

semanage fcontext -l —— 查看内核安全上下文列表

semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’

a :增加的意思 ，可以增加一些目录的默认安全性环境类型设置
-m 修改的意思
-d 删除的意思

restorecon -RvvF /westosdir/ ----------restorecon 命令 ，恢复成默认 selinux type

-R ：连同子目录一起修改 ；-F : 连同子目录文件一起修改 ；-v ： 过程显示到屏幕

touch /.autorelabel —— 重启系统时selinux初始化文件标签开关文件

4.SEBOOL

getsebool -a —— 现实服务的bool值
setsebool -P ftpd_anon_write on ——更改

5.SEPORT

semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp 1111

注意：在修改端口后，若selinux为强制模式，无法重启sshd服务。

6.setrouble

/var/log/audit/audit.log —— selinux警告信息

setroubleshoot : 将错误信息写入 /var/log/messages # troubleshoot(错误客服)

setroubleshoot这个服务会将关于 SELinux 的错误信息与克服方法记录到 /var/log/messages 与 /var/log/setroubleshoot/*中

setroubleshoot服务所需软件

setroubleshoot
setroubleshoot-server

备注：两者已经整合在 auditd 当中，安装好 setroubleshoot-server，需要重新启动 auditd

systemctl restart auditd