Linux中Selinux管理
一、selinux功能
二、selinux状态
三、安全上下文
四、SEBOOL
一、selinux功能
1.定义:Selinux-内核级加强型防火墙,Selinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。
2.Selinux开启或者关闭
在配置文件"/etc/sysconfig/selinux"下将"SELINUX=enforcing"改为"SELINUX=disabled",因为SElinux是基于内核的安全系统,所以在设置完成之后需要重启内核,即需要重启电脑才可以生效。
selinux状态查看
seliux关闭状态: 在/mnt/中建立文件文件安全上下文为空文件被移动到ftp默认发布目录中可以被访问 ftp程序安全上下文为空 用户可以上传文件
当selinux开启以上功能操作均失败
selinux: 内核级加强型火墙 selinux功能: 当selinux开启会给系统中的每一个文件及每一个程序加载安全上下文 特定安全上下文的程序只能访问特定安全上下文 的文件
selinux开启状态下匿名用户写的权限是关闭的
ftpd_anon_write=off
当selinux开启会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态以保 证服务安全性 当需要此功能时需要超级用户手动调节
二、selinux状态
getenforce 查看selinux状态
vim /etc/sysconfig/selinux 编辑此文件后需重新启动系统
selinux=disabled 关闭状态
selinux=Enforcing 强制状态
selinux=Permissive 警告状态不实际拒绝访问但会有拒绝信息写入日志(/var/log/audit/audit.log
);
三、安全上下文
3.1临时更改文件安全上下文(重启系统后失效)
chcon -t 安全上下文 文件
chcon -R -t 安全上下文 目
3.2永久更改目录或文件的安全上下文
当用westos用户登陆ftp时/ftpuserdir中的内容无法访问,因为selinux安全上下文不匹配
[root@rhel8_node2 ~]# semanage fcontext -a -t public_content_t /ftpuserdir'(/.*)?' 目录和目录里面的文件都更改安全上下文
[root@rhel8_node2 ~]# semanage fcontext -a -t public_content_t /ftpuserdir 只更改目录
[root@rhel8_node2 ~]# restorecon -RvvF /ftpuserdir(更改完目录文件的安全上下文后一定要刷新否则不生效)
R 表示递归刷新
v显示信息
v显示详细信息
F刷新
四、SEBOOL
SEBOOL: selinux 对服务功能能添加的开关
实验呢环境:
首先在开启匿名用户可以上传文件
测试:
[root@rhel8_node2 ~]# setsebool ftpd_anon_write=1 no关闭临时设定
[root@rhel8_node2 ~]# setsebool -P ftpd_anon_write=1 -P表示永久设置
五、setrouble
selinux排错
安装setrouble
yum install setroubleshoot-server-3.3.19-1.el8.x86_64 -y
实验环境:
sealert -a /var/log/audit/audit.log 分析日志并提供解决方案(selinux开启状态下,服务报错日志存放地)
使用方案1可以查看创建的文件(注意:file在/var/ftp/)