Linux 中内核级加强型防火墙的管理

一.Selinux的功能

1.观察现象
当Selinux未开启时
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd 时显示:
-    root    8546  0.0   0.0   26952   408  ?   Ss   10:35   0:00   /usr/sbin/vsftpd    /etc/vsftpd/vsftpd.conf
当selinux开启:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd 时显示:
system_u:system_r:ftpd_t:s0-s0:c0.c1023  root  6577  0.0  0.0  26952  412  ?    Ss    10:50
0:00  /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)

对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
二.Selinux的状态及管理

1.selinux的开启 "selinux开启或关闭需要重启系统"
vim /etc/selinux/config
7 SELINUX=disabled
#selinux关闭
7 SELINUX=enforcing  不符合条件一定不能被允许,并会收到警告信息
#selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive  不符合条件被允许,并会收到警告信息
#selinux开机设定为警告状态此状态为selinux开启

selinux状态的查看: getenforce

selinux开启后强制和警告级别的转换
setenforce 0 ##警告
setenforce 1 ##强制

selinux日志位置:
/var/log/audit/audit.log

selinux 对上传文件的影响

vim /etc/sysconfig/selinux      开启强制状态enforcing
getenforce查看状态                Disabled
reboot 重启
getenforce                                Enforcing
touch /.autorelabel  重启系统时selinux初始化文件标签开关文件
reboot
getenforce                                Enforcing

rm -fr /etc/vsftpd/
dnf reinstall vsftpd -y  重新下载
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES  开启匿名用户登陆
anon_upload_enable=YES 开启匿名用户上传
systemctl restart vsftpd
chmod 775 /var/ftp/pub/
chgrp ftp /var/ftp/pub/

[root@westoslinux pub]# lftp 172.25.254.101
lftp 172.25.254.101:~> ls
-rw-r--r--    1 0        0             988 Nov 02 13:20 group
drwxrwxr-x    2 0        50              6 Nov 03 10:57 pub
-rw-r--r--    1 0        0               0 Nov 02 11:08 westosfile
lftp 172.25.254.101:/> cd pub/
lftp 172.25.254.101:/pub> put /etc/group
put: /etc/group: Access failed: 553 Could not create file. (group)  失败原因 内核防火墙开着
[root@westoslinux pub]# setenforce 0  解决办法 设置警告状态
[root@westoslinux pub]# getenforce
Permissive
[root@westoslinux pub]# lftp 172.25.254.101
lftp 172.25.254.101:~> ls
-rw-r--r--    1 0        0             988 Nov 02 13:20 group
drwxrwxr-x    2 0        50              6 Nov 03 10:57 pub
-rw-r--r--    1 0        0               0 Nov 02 11:08 westosfile
lftp 172.25.254.101:/> cd pub/
lftp 172.25.254.101:/pub> put /etc/group
988 bytes transferred
lftp 172.25.254.101:/pub> quit  成功

三.Selinux的安全上下文

1.查看

ls -Z      ##查看文件的安全上下文

ls -Zd    ##查看目录的安全上下文

ps axZ  ##查看进程的安全上下文

[root@westoslinux pub]# ls /var/ftp/
group  pub  westosfile
[root@westoslinux pub]# ls -Z /var/ftp/   查看文件的安全上下文
system_u:object_r:public_content_t:s0 group
system_u:object_r:public_content_t:s0 pub
system_u:object_r:public_content_t:s0 westosfile
[root@westoslinux pub]# ps axZ | grep vsftpd  查看进程的安全上下文
system_u:system_r:ftpd_t:s0-s0:c0.c1023 2734 ?   Ss     0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2991 pts/1 R+   0:00 grep --color=auto vsftpd

2.修改安全上下文

#临时修改

#此方式更改的安全上下文在selinux重启后会还原

chcon -t