##1.内核级防火墙 selinux## 1.三种级别 1 (Enforcing)强制:警告,并拒绝访问 0 (Permissive)警告:不被拒绝,但会产生警告日志 (Disabled)关闭:不被拒绝,可正常访问 2.安全标签:安全上下文 当selinux插件处于关闭状态,vsftp服务无安全标签 当selinux插件处于强制/警告状态,重启时给所有服务添加安全标签(例 ps auxZ | grep vsftpd) ##2.selinux 级别管理 ## 1.selinux配置文件 /etc/sysconfig/selinux 2.selinux级别信息 查看selinux级别 getenforce 设置selinux级别 setenforce 0 | 1 注意:强制和警告级别可相互切换,但若关闭selinux插件,修改配置文件后必须reboot; 若打开selinux插件,同样必须reboot; 3.selinux 不同级别的文件管理 disable ##客户端可看到移动到pub目录的文件 服务端建立文件,并移动到默认发布目录下: 客户端登陆,可正常显示 Enforcing ##客户端不能看到移动到pub目录的文件 服务端建立文件,并移动到默认发布目录下: 客户端登陆,只能显示之前的文件,不能显示新建的westos文件 Permissive ##客户端可看到移动到pub目录的文件,但会产生警告日志 服务端建立文件,并移动到默认发布目录下: 客户端登陆,可看到所有文件,但浏览file文件时会产生警告日志 ##3.文件的安全上下文设置## 1.实验环境(修改ftp的默认发布目录) 配置文件 /etc/vsftpd/vsftpd.conf 注意:需要新建相关目录和文件 2.查看文件安全上下文 ls -Z 文件绝对路径 查看目录安全上下文 ls -Zd 目录绝对路径 3.临时修改上下文,重启后失效 ##命令行chcon chcon -t 安全上下文类型 目录绝对路径 -R(递归) 修改前,安全上下文类型为default_t,用户登陆后无法查看 修改后,安全上下文类型为public_content_t,登陆后: 4.永久修改上下文 ##安全上下文列表 查看安全上下文列表 semanage fcontext 将指定目录加入安全上下文列表 重新加载安全上下文列表 restorecon - RvvF 5.此时匿名用户登陆时,可正常访问 ##4.selinux 的bool值## 1.查看selinux中服务的bool值 getsebool -a 2.修改sebool值,打开服务 setsebool -P ftp_home_dir 1 -P ##永久修改 0 ##关闭服务 1 ##开启服务 3.打开ftp_home_dir功能时,本地用户登陆后具备相应权限