Linux中内核级加强型火墙
一、观察现象,当selinux开启时,对文件会有什么影响
selinux(内核级加强型火墙)
selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)
对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
二、Selinux的状态及管理
1.selinux的开启
vim /etc/selinux/config
7 SELINUX=disabled #selinux关闭
7 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启
警告状态和强制状态,linux都是开启状态
enforcing: 不符合条件一定不能被允许,并会收到警告信息
permissive: 不符合条件被允许,并会收到警告信息
“selinux开启或关闭需要重启系统”
getenforce selinux状态的查看
selinux开启后强制和警告级别的转换
setenforce 0 ##警告
setenforce 1 ##强制
selinux日志位置:
/var/log/audit/audit.log
三、Selinux的安全上下文
1.查看
ls -Z | ##查看文件的安全上下文 |
---|---|
ls -Zd | ##查看目录的安全上下文 |
ps axZ | ##查看进程的安全上下文 |
2.修改安全上下文
1)临时修改
此方式更改的安全上下文在selinux重启后会还原
(当selinux为强制状态时的重启步骤
方法一:先设定selinux为disabled状态,reboot重启,再selinux为enforcing状态,再重启
方法一:touch /.autorelabel,建立该文件后,重启系统即可(此文件存在时,重启时,selinux会初始化文件标签,此文件为一次性文件,重启后文件消失))
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1 #修改文件及目录的安全上下文
chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文
2)永久修改安全上下文
如果需要特殊指定安全上下文,需要修改内核安全上下文列表。
semanage fcontext -l ##查看内核安全上下文列表
semanage fcontext -a -t public_content_t '/westosdir(/.*)?' #永久修改目录及其子文件的安全上下文,如果不加(/.*)?,则知识目录本身的安全上下文被记录了,目录里边的内容不会发生变化
restorecon -RvvF /westosdir/ #从内核安全上下文列表中同步信息,
touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件
四、SEBOOL
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
getsebool -a ##显示服务的bool值
setsebool -P ftpd_anon_write on #更改
五、SEPORT
semanage port -l | grep ssh #显示服务的端口直列表,即系统允许更改的端口号
semanage port -a -t ssh_port_t -p tcp 1111 #更改服务的端口号
六、setrouble
#/var/log/audit/audit.log ##selinux警告信息
#/var/log/messages ##selinux问题解决方案
#setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放到message中
安装setroble软件