目录
一.Selinux的功能 :
1.观察现象
当Selinux未开启时 :
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd 时显示:
- root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
当selinux开启:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd 时显示:
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0 0.0 26952 412 ? Ss 10:50 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)
对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
二.Selinux的状态及管理 :
1.selinux的开启
vim /etc/selinux/config
SELINUX=disabled #selinux关闭
SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启
"selinux开启或关闭需要重启系统"
enforcing:
不符合条件一定不能被允许,并会收到警告信息permissive:
不符合条件被允许,并会收到警告信息
selinux状态的查看:
getenforceselinux开启后强制和警告级别的转换
setenforce 0 ##警告
setenforce 1 ##强制selinux日志位置:
/var/log/audit/audit.log
三.Selinux的安全上下文 :
1.查看 :
ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps axZ ##查看进程的安全上下文
2.修改安全上下文 :
2.1临时修改 :此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文
2.2永久修改安全上下文 :如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l ##查看内核安全上下文列表
semanage fcontext -a -t public_content_t '/westosdir(/.*)?'
restorecon -RvvF /westosdir/
touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件
tips:重启过后发现安全上下文依旧没变,要 touch /.autorelabel 在重启
四.SEBOOL :
setenforce 0
getsebool -a ##现实服务的bool值
setsebool -P ftpd_anon_write on #更改bool值
实验为更改fpt的匿名write开启服务
然后将pub的安全上下文加上rw权限
再次进入lftp客户端服务,就可以在pub目录中进行文件的上传
五.SEPORT :
semanage port -l | grep ssh ##查看端口列表
semanage port -a -t ssh_port_t -p tcp 2223 ##给ssh添加可用端口
semanage port -d -t ftp_port_t -p tcp 2223 ##删除ssh的可用端口
也可以 vim /etc/ssh/sshd_config中进行端口的改变,并且systemctl restart sshd
六.setrouble :
setroubleshoot-server是采集警告信息并分析得到解决方案存放到message中的一款软件。
/var/log/audit/audit.log ##selinux警告信息
/var/log/messages ##selinux问题解决方案
实验:
var/ftp中的file3文件和ftp程序的安全上下文不同,然后清空/var/log/audit/audit.log与/var/log/messages
客户端访问时只能看到安全上下文相匹配的文件,看不到file3
在ftp服务器中查看警告 ,并且根据警告进行修改
然后在客户端可以看到file3了
tips: setroubleshoot-server仅仅只是提供解决方案,不会考虑到该方案的安全性,所以执行解决方案时需慎重考虑。