Linux运维--SElinux详解

一、SElinux

1 SElinux

安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统

SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)

2 SElinux对系统的影响

SELinux插件开启时会为系统中开启的每一个程序和每一个文件加载一个标签,特定标签的程序只能读取或者操作特定标签的文件,如果标签不配套,该访问就会被禁止,这种在文件上的标签被称为 安全上下文,在程序上的标签为sebool值

二、selinux的开启及模式调整

改变selinux状态:

 vim /etc/sysconfig/selinux

在这里插入图片描述

参数含义
SELINUX=enforcingselinux开启,级别为强制
SELINUX=permissiveselinux开启,级别为警告
SELINUX=disableselinux关闭

其中强制模式表示警告加拒绝,警告模式只有警告

 setenforce 0|1		##更改selinux当前的级别0警告1强制
 getenforce			##查看selinux的状态

注意:当selinux从关到开,或值从开到关,需要重启系统

三、sebool的设定

selinux的bool值的查看:

getsebool -a | grep ftp

在这里插入图片描述
设定sebool值:

setsebool -P ftp_home_dir on

在这里插入图片描述

查看目录安全上下文:

 ls -Zd /var/ftp/pub/

在这里插入图片描述
更改目录安全上下文:

 semanage fcontext -a -t public_content_rw_t "/var/ftp/pub(/.*)?"		#更改安全上下文
 
 restorecon -RvvF /var/ftp/pub/ 		#刷新

在这里插入图片描述

四、修改文件上下文

1 临时修改文件上下文

/mnt目录中新建文件testfile并移动到ftp发布目录/var/ftp中,使用命令ls -Z查看文件的上下文如下:
在这里插入图片描述
登陆ftp查看文件:
在这里插入图片描述
可以用以下命令来修改文件上下文:

 chcon -t public_content_t testfile				#public_content_t为新的文件上下文

在这里插入图片描述
再次登陆ftp发现可以看到文件testfile
在这里插入图片描述
2 永久更改文件上下文

使用chcon命令更改目录上下文后重启selinux,更改将会还原,要使更改永久生效,需要将目录增加到selinux安全列表中,可以使用以下命令查看selinux安全列表:

 semanage fcontext -l
 semanage fcontext -l | grep ftp		#筛选出与ftp有关的信息

使用以下命令永久更改文件上下文:

 semanage fcontext -a -t public_content_t '/westos(/.*)?'		#将文件或目录添加到selinux安全列表中
 restorecon -RvvF /westos/		#刷新

五、SElinux的排错

在系统中负责记录SElinux错误信息的服务为 setroubshoot-server,并会在/var/log/messages中提供解决方案

示例:
/var/ftp/目录下有ftp不能访问的文件时,错误信息会被记录在/var/log/audit/audit.log
在这里插入图片描述
/var/log/messages中提供解决方案:
在这里插入图片描述
在这里插入图片描述
setroubshoot-server被卸载时,错误信息将不会被记录,并且不会有解决方案

  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值