selinux
1.selinux
内核级加强型防火墙
1.针对文件,会对系统中每个文件添加安全上下文(context)
2.针对进程,会对系统中的每个进程添加全上下文(context)
3.会在系统服务上设定sebool开关
4.当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
5.sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值
2.管理selinux
selinux的开关
vim /etc/sysconfig/selinux
SELINUX=enforcing ##selinux开启,级别为强制
SELINUX=permissive ##selinux开启,级别为警告
SELINUX=disabled ##selinux关闭
setenforce 0|1 ##更改selinux当前的级别0警告1标示强制
getenforce ##查看selinux的状态
注意:当selinux从关到开,或者从开到关,需要重启系统,而从警告状态到强制状态或强制状态到警告状态不需要重启
selinux的影响
selinux中对文件安全上下文的设定
实验环境:
selinux状态为enforcing,配置好ftp服务
在/mnt下建立一个文件,将它移动到ftp的发布目录下
Lftp登录查看
在/var/ftp/pub目录下建立一个文件
为什么一个可以看到一个不可以看到呢
Ls -Z 查看文件标签
因为他们的安全上下文不同
临时更改适用于更改文件
chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/file
临时更改目录安全上下文
chcon -t public_content_t /westos -R
首先将匿名用户的发布目录改为/westos