Linux中内核级加强型火墙的管理
1 实验环境
- 如果实验做的太多,需要先将ftp还原
- rm -rf /etc/vsftpd
- dnf reinstall vsftpd -y
- chmod 775 /var/ftp/pub/
- chgrp ftp /var/ftp/pub/
- ls -ld /var/ftp/pub/
- 编辑配置文件
vim /etc/vsftpd/vsftpd.conf
将其中
12行:anonymous_enable=YES
29行:anon_upload_enable=YES - 退出保存后,重启ftp服务
systemctl restart vsftpd
2 Selinux的状态及管理
【1】 selinux的开启
vim /etc/selinux/config
7 SELINUX=disabled #selinux关闭
7 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启
-
selinux开启或关闭需要重启系统
-
enforcing:
不符合条件一定不能被允许,并会受到警告信息 -
permissive:
不符合条件被允许,并会收到警告信息
【2】selinux状态的查看:
- getenforce
【3】selinux开启后强制和警告级别的转换
- setenforce 0 #警告
- setenforce 1 #强制
【4】selinux日志位置:
/var/log/audit/audit.log
3 Selinux的安全上下文
(1)查看
- ls -Z #查看文件的安全上下文
- ls -Zd #查看目录的安全上下文
- ps axZ #查看进程的安全上下文
(2)修改安全上下文
-
临时修改
-
此方式更改的安全上下文在selinux重启后还原
-
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir
#修改目录及目录中的所有子文件的安全上下文
-
永久修改安全上下文
-
如果需要特殊指定安全上下文需要修改内核安全上下文列表
-
semanage fcontext -l #查看内核安全上下文列表
* -
semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’
-
restorecon -RvvF /westosdir/
-
touch /.autorelabel #重启系统时selinux初始化文件标签开关文件
4 SEBOOL
-
getsebool -a #现实服务的bool值
-
setsebool -P ftpd_anon_write on #更改
5 SEPORT
-
semanage port -l | grep http
-
semanage port -a -t http_port_t -p tcp 6666
-
semanage port -d -t httpd_port_t -p tcp 6666
-
systemctl restart httpd
-
systemctl stop httpd
6 setrouble
-
/var/log/audit/audit.log ##selinux警告信息
-
/var/log/messages ##selinux问题解决方案
-
setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放到message中
-
若将setroubleshoot-server卸载后新产生的日志解决方案将不会存放到message中
>/var/log/audit/audit.log 清空日志
> /var/log/messages -
cat /var/log/audit/audit.log
-
cat /var/log/messages