本文介绍了Selinux的功能,包括其在Linux系统中的状态管理,如通过修改`/etc/selinux/config`文件设置开启或关闭,以及使用`getenforce`和`setenforce`命令切换强制与警告级别。此外,还提到了Selinux的安全上下文、SEBOOL、SEPORT以及setrouble等相关概念。
Linux中selinux的管理的一些操作
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。
一.Selinux的功能
当Selinux未开启时
[root@d ~]# getenforce
Disabled
[root@d ~]# dnf install vsftpd -y
[root@d ~]# dnf install lftp -y
[root@d ~]# systemctl enable --now vsftpd
[root@d mnt]# vim /etc/vsftpd/vsftpd.conf
12 anonymous_enable=YES
31 anon_upload_enable=YES
[root@d mnt]# systemctl restart vsftpd
[root@d mnt]# touch westosfile
[root@d mnt]# mv westosfile /var/ftp
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
[root@d ftp]# ls -Z
? pub ? westosfile
[root@d ftp]# ps axZ | grep vsftpd
- 36188 ? Ss 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
匿名用户可以通过设置后上传文件
[root@d ftp]# lftp ip
lftp ip:/pub> put /etc/group
1068 bytes transferred
当Selinux开启
[root@d ~]# getenforce
Enforcing
[root@d ~]# cd /mnt/
[root@d mnt]# touch file
[root@d mnt]# mv file /var/ftp
[root@d mnt]# cd /var/ftp
[root@d ftp]# ls -Z
unconfined_u:object_r:mnt_t:s0 file
[root@d ftp]# ps axZ | grep vsftpd
system_u:system_r:ftpd_t:s0-s0:c0.c1023 947 ? Ss 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
lftp ip:/pub> put /etc/passwd
put: /etc/passwd: Access failed: 553 Could not create file. (passwd)
当使用ls -Z /var/ftp查看文件时显示信息
selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)
对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
二.Selinux的状态及管理
Selinux的开启
vim /etc/selinux/config
7 SELINUX=disabled #selinux关闭
7 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启
“selinux开启或关闭需要重启系统”
enforcing:
不符合条件一定不能被允许,并会收到警告信息
permissive:
不符合条件被允许,并会收到警告信息
selinux状态的查看:
getenforce
selinux开启后强制和警告级别的转换
setenforce 0 ##警告
setenforce 1 ##强制
selinux日志位置:
/var/log/audit/audit.log
三.Selinux的安全上下文
1.查看
ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps axZ ##查看进程的安全上下文
2.修改安全上下文
#临时修改
#此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /var/ftp/westosfile1
chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文
[root@d ftp]# chcon -Rt public_content_t /var/ftp #之前不能被访问,执行此操作后就能访问了。
#永久修改安全上下文
#如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l ##查看内核安全上下文列表
semanage fcontext -a -t public_content_t '/westosdir(/.*)?'
restorecon -RvvF /westosdir/
touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件
四.SEBOOL
getsebool -a ##现实服务的bool值
setsebool -P ftpd_anon_write on #更改
[root@d ~]# semanage fcontext -a -t public_content_rw_t '/var/ftp/pub(/.*)?'
[root@d ~]# restorecon -RvvF /var/ftp/pub/
[root@d ~]# getsebool -a | grep ftp
[root@d ~]# setsebool -P ftpd_anon_write on
lftp ip:/pub> put /etc/adjtime #之前不能上传现在可以上传了。
16 bytes transferred
五.SEPORT
semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp 1111
[root@d ~]# semanage port -l | grep http
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
[root@d ~]# semanage port -a -t http_port_t -p tcp 6666
[root@d ~]# semanage port -l | grep http
http_port_t tcp 6666, 80, 81, 443, 488, 8008, 8009, 8443, 9000
[root@d ~]# netstat -antlupe | grep http
[root@d ~]# vim /etc/httpd/conf/httpd.conf
45 Listen 80
46 #Listen 6666
[root@d ~]# systemctl restart httpd
[root@d ~]# netstat -antlupe | grep http
六.setrouble
/var/log/audit/audit.log ##selinux警告信息
/var/log/messages ##selinux问题解决方案
setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放到message中
[root@d ~]# dnf install setroubleshoot-server-3.3.22-2.el8.x86_64 -y
[root@d ~]# rpm -qa | grep setrouble
[root@d ~]# > /var/log/messages
[root@d ~]# > /var/log/audit/audit.log
[root@d ~]# cd /mnt/
[root@d mnt]# touch westosfile1
[root@d mnt]# mv westosfile1 /var/ftp
[root@d mnt]# lftp ip
lftp ip:~> ls #看不到移动过来的文件
[root@d mnt]# cat /var/log/messages
见下图
[root@d mnt]# /sbin/restorecon -v /var/ftp/westosfile1
执行完此条语句之后就可以看到移动过来的文件了。
191
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
