Linux系统工程师 3.2 -- 内核级加强型火墙

最新推荐文章于 2024-04-25 12:27:29 发布

炭火烤鹌鹑

最新推荐文章于 2024-04-25 12:27:29 发布

阅读量93

点赞数

分类专栏： Linux操作系统基础三

本文链接：https://blog.csdn.net/m0_53485346/article/details/119508502

版权

Linux操作系统基础三专栏收录该内容

7 篇文章 0 订阅

订阅专栏

本文介绍了Linux内核级防火墙SELinux的工作原理和管理方法，包括不同状态下的行为、安全上下文查看与修改、SEBOOL、SEPORT的管理以及setrouble的使用。在强制状态下，SELinux会限制文件访问和程序功能，而警告状态下则允许但记录异常。通过调整selinux的状态、修改安全上下文和设置布尔值，可以精细控制系统的安全策略。

摘要由CSDN通过智能技术生成

2.selinux开启后强制和警告级别的转换

linux内核级加强型火墙管理

1、selinux不同状态的现象

当selinux开启时 #getenforce --> Permissive 警告状态

在/mnt中建立文件mv移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp 查看文件时显示"?"
ps auxZ | grep vsftpd 时显示：
- root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftod.conf

当selinux开启时 #getenforce --> Enforcing 强制状态

在/mnt中建立文件mv移动到/var/ftp下不可以被vsftpd服务访问
匿名用户通过设置后仍不能上传文件
当使用ls -Z /var/ftp 查看文件时显示 "unconfined_u:object_r:mnt_t:s0 /var/ftp/westosfile"
ps auxZ | grep vsftpd 时显示:
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 1774 0.0 0.1 27016 1364 ? Ss 15:22 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux对于文件的影响：

当linux开启时，内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文（context）

对于程序功能的影响：

selinux开启会对程序功能加载开关，并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关

2、Selinux的状态及管理

1.selinux的开启

vim /etc/selinux/config
SELINUX=disabled           #selinux关闭
SELINUX=enforcing         #selinux开机设定为强制状态此状态为selinux开启
SELINUX=permissive       #selinux开机设定为警告状态此状态为selinux开启
"selinux开启或关闭需要重启系统"

enforcing：不符合条件一定不能被允许，并会收到警告信息

permissive：不符合条件被允许，并会收到警告信息

selinux状态的查看：getenforce

2.selinux开启后强制和警告级别的转换

setenforce 0 ##警告
setenforce 1 ##强制

3.selinux日志位置：

/var/log/audit/audit.log

3、Selinux的安全上下文

1.查看

ls -Z       ##查看文件的安全上下文
ls -Zd       ##查看目录的安全上下文
ps axZ       ##查看进程的安全上下文

2.修改安全上下文

#临时修改
#此方式更改的安全上下文在selinux重启后会还原
chcon -t    标签           文件|目录
chcon -t    public_content_t    /var/ftp/westosfile1
chcon -Rt    public_content_t   /westosdir   #修改目录及目录中的所有子文件的安全上下文

#永久修改安全上下文
#如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l        ##查看内核安全上下文列表
semanage fcontext -a -t public_content_rw_t '/westosdir(/.*)?'
restorecon -RvvF /westosdir/    #刷新(vv表示详细显示)
touch /.autorelabel       ##重启系统时selinux初始化文件标签开关文件

4、SEBOOL

getsebool -a ##现实服务的bool值
setsebool -P ftpd_anon_write on #更改(打开写服务)

5、SEPORT

vim /etc/ssh/sshd_config                       #背景：更改sshd服务的端口
systemctl restart sshd                           #在selinux为setenforce 1强制型时会报错

semanage port -l | grep ssh                  # 查看服务端口
ssh_port_t                     tcp      22

semanage port -a -t ssh_port_t -p tcp 2222           # -a添加端口 -d删除端口
ssh_port_t                     tcp      2222,22

6、setrouble

#/var/log/audit/audit.log        ##selinux警告信息
#/var/log/messages              ##selinux问题解决方案
#setroubleshoot-server       ##此软件功能是采集警告信息并分析得到解决方案存放到message中

semanage port -d -t ssh_port_t -p tcp 1111
> /var/log/audit/audit.log
>/var/log/messages

systemctl restart sshd
systemctl stop sshd

炭火烤鹌鹑

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Linux系统工程师 3.2 -- 内核级加强型火墙

linux内核级加强型火墙管理当selinux关闭时 #getenforce --> Permissive在/mnt中建立文件mv移动到/var/ftp下可以被vsftpd服务访问匿名用户可以通过设置后上传文件当使用ls -Z /var/ftp 查看文件时显示"?"ps auxZ | grep vsftpd 时显示：- root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vs...
复制链接

扫一扫

专栏目录