SELINUX
1.基本 SELINUX 安全性概念
SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制, 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 SELINUX 访问权限。因此 , 即使以超级用户身份root 运行进程 , 根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 ) 标签。
2.selinux 安全上下文访问规则
WEB 服务器HTTPD 进程设置了 SELINUX 上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t系统上的文件和资源也设置了 SELINUX 上下文标签 , 并且重要的部分是 SELINUX 类型。例如 , /var/www/html 中的文件具有类型 httpd_sys_content_t 。 /tmp 和 /var/tmp 中的文件通常具有类型 tmp_t。
Seliux 策略具有允许以 httpd_t 身份运行的进程访问标记为httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即使常规文件权限指出应该允许这些访问SELINUX 模式
3.显示及更改selinux模式
setenforce(set(设置)和enforce(执行)的连写)是linux的selinux防火墙配置命令
setenforce 0表示关闭防火墙
getenforce(查看selinux的状态)
gentenforce 0|1
0表示permission ##警告模式
1表示enforcing ##强制模式
4.临时修改文件的安全上下文
##临时修改文件的安全上下文将通过一个文件的移动会改变安全上下文的格式的实验来进行演示
##由于建立一个文件不会改变安全上下文,而移动一个文件则会改变安全上下文的格式,导致无法在lftp下访问,而通过修改
这个文件的安全上下文格式会使得我们看见这个文件
实验:
4.1.systemctl start vsftpd(打开vsftp)
4.2
systemctl stop firewalld(关闭防火墙)
4.3 rm -fr /var/ftp/*(删除掉ftp下的有文件)
4.4touch /mnt/westos (在/mnt/下建立一个westos)
4.5 mv /mnt/westos /var/ftp/(移动这个wetos 到/var/ftp下)
4.6lftp 172.25.254.235 (链接lftp 发现并没有这个移动过来的文件)
4.7cd /var/ftp/
4.8touch file1 (建立一个file1文件)