Linux中内核加强型火墙的管理
##Selinux的功能
1.观察现象
当Selinux未开启时
/mnt中建立的文件传到/var/ftp可以被访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp 查看文件显示 ?
ps axZ | grep vsftpd时显示- 7065 ? Ss 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
开启时
selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)
对于程序功能的影响;
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
####Selinux的状态及管理
1.Selinux的开启
vim /etc/selinux/config
disabled 关闭
enforcing 强制状态(开启)
permissive 警告状态(开启)
都需要重启系统
selinux状态查看:
selinux开启后强制和警告级别的转换:
setenforce 0 警告
setenforce 1 强制
selinux的日志位置
/var/log/audit/audit.log
#####selinux的安全上下文
##查看
ls -Z 查看上下文
ps axZ 查看进程安全上下文
#修改安全上下文
chcon -t 标签 文件/目录
chcon -t pubic_content_t /var/ftp/westos
chcon -Rt pubic_content_t /westosdir (递归)
#永久修改安全上下文
如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l 查看内核安全上下文列表
eg:
semanage fcontext -a -t public_content_t '/westosdir(/.*)?' 修改目录的安全上下文以及里面的文件
(/.*)?'----------包括里面的文件
restorecon -RvvF /westosdir/ 重新加载安全上下文
touch /.autoelabel 重启系统时selinux初始化文件标签开关文件
###SEBOOL
getsebool -a 显示服务的bool值
setsebool -P ftpd_anon_write on 更改bool值
#SEBOOL
semanage port -l | grep http
semanage port -a -t http_port_t -p tcp 8888
##setrouble
/var/log/audit/audit.log selinux警告信息
/var/log/messages selinux解决方案
setroubleshoot-server 解决问题的软件
eg:
touch /mnt/1
mv /mnt/1 /var/ftp/
cat /var/log/messages
/sbin/restorecon -v lee
603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
