linux中selinux插件
linux中selinux插件
服务端:
1.vim /etc/yum.repos.d/rhel_dvd.repo 更改yum源地址
2.yum clean all 清空缓存
3.yum install vsftpd -y 安装vsftpd服务
4.systemctl start vsftpd 开启vsftpd服务
5.systemctl enable vsftpd 设置开机自启动
6.systemctl stop firewalld 关闭防火墙
7.systemctl disable firewalld 设置开机关闭防火墙
客户端:
1.yum install lftp -y 下载lftp服务
2.lftp 172.25.254.107 --ls查看 可以显示内容登陆成功
1.命令修改:只能在强制,警告两者之间修改,如果想要关闭需要修改配置文件,并且reboot,修改成功。
强制:会发出警告,且不能访问
setenforce 1 修改为强制
警告:会发出警告,到可以访问
setenforce 0 修改为警告
查看getenforce
2.vim /etc/sysconfig/selinux 配置文件修改状态,修改后要reboot(selinux插件)。
enforcing 强制
permissive 警告
disabled 关闭
3.[[email protected] pub]# ls -Z 查看标签
disabled 关闭时
在touch /var/ftp/pub/ westos目录中建立文件,登陆ftp查看
登陆ftp查看:可以看到westos
enforcing 强制时
lftp登陆查看可以看到westos,看不到westos1
安全上下文标签不一样
4.[[email protected] ~]# ps auxZ | grep vsftpd 查看vsftpd服务
5.[[email protected] pub]# chcon -t public_content_t westos1 更改标签(修改标签后可以查看)
注意:chcon更改安全上写文是临时的,系统重后更改失效。
[[email protected] pub]# chcon -t public_content_t westos1
[[email protected] pub]# ls -Z
-rw-r--r--. root root system_u:object_r:public_content_t:s0 westos
-rw-r--r--. root root unconfined_u:object_r:public_content_t:s0 westos1
重启服务:systemctl restart vsftpd
登陆ftp可以查看那到westos1
1.mkdir /westos 建立目录
2.semanage fcontext -l | grep /var/ftp 查看安全上下文列表
3.semanage fcontext -l | grep /wstos 查看westos有没有在列表中
列表中没有
4.semanage fcontext -a -t public_content_t '/westos(/.*)?' 把westos加入到列表中
5. semanage fcontext -l | grep /westos
/westos(/.*)? all files system_u:object_r:public_content_t:s0
6.[[email protected] ~]# restorecon -RvvF /westos/ 刷新安全上下文列表
7.[[email protected] ~]# ls -Zd /westos/
drwxr-xr-x. root root system_u:object_r:public_content_t:s0 /westos/
1. getsebool -a | grep ftp 查看火墙bool值
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
2. setsebool -P ftp_home_dir on 更改火墙bool值-P表示永久允许
systemctl restart vsftpd 重启服务
测试:student用户登陆
lftp 172.25.254.107 -u student
Password:
lftp [email protected]:~> ls
lftp [email protected]:~> put /etc/passwd
2381 bytes transferred
lftp [email protected]:~> ls
-rw-r--r-- 1 1000 1000 2381 Apr 20 03:39 passwd
selinux 日志存放位置
1.setsebool -P ftp_home_dir 0 关闭bool值
2. rpm -qa | grep setroubleshoot 查看软件
3./var/log/audit/audit.log selinux产生的日志
4.yum remove setroubleshoot-server-3.2.17-2.el7.x86_64 卸载软件(这个软件生成selinux报错的解决方案),如果卸载了,就没有selinux报错解决方案。
5./var/log/messages selinux产生的报错日志解决方案
linux中selinux插件相关教程