全网最全的Linux中的内核级加强型火墙图文详解

目录

前言

一、Selinux的功能

二、Selinux的状态及管理 

三、Selinux的安全上下文 

四、SEBOOL

五、SEPORT 

六、setrouble 

---

前言

内核级加强型火墙主要是指系统中的selinux功能，该功能开启时，会对系统中的文件和程序产生影响，用户的一些操作会被限制,但是此限制是为了系统更加安全。

一、Selinux的功能

观察现象：

当Selinux未开启时

在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd 时显示：
- root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

当selinux开启

在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd 时显示：
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0 0.0 26952 412 ? Ss 10:50
0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

Selinux开启后所产生的影响

对于文件的影响：
当selinux开启时，内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文（context）

对于程序功能的影响：
当selinux开启会对程序的功能加载开关，并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

 

二、Selinux的状态及管理 

selinux的开启：
vim /etc/selinux/config   或者/etc/sysconfig/selinux
7 SELINUX=disabled        selinux关闭
7 SELINUX=enforcing        selinux开机设定为强制状态,此状态为selinux开启
7 SELINUX=permissive        selinux开机设定为警告状态,此状态为selinux开启
"selinux从开启到关闭需要重启系统"

enforcing：
不符合条件一定不能被允许，并会收到警告信息

permissive：
不符合条件被允许，并会收到警告信息

selinux状态的查看：
getenforce

selinux开启后强制和警告级别的转换
setenforce 0           警告
setenforce 1           强制
强制模式下，用lftp不能访问，警告模式下可以访问，两种情况下都会在/var/log/audit/audit.log中生成日志

selinux日志位置：
/var/log/audit/audit.log

 

三、Selinux的安全上下文 

1.查看
ls -Z  # 查看文件的安全上下文
ls -Zd # 查看目录的安全上下文
ps axZ # 查看进程的安全上下文

2.修改安全上下文

临时修改文件的安全上下文：此方式更改的安全上下文在selinux重启后会还原
chcon -t     标签            文件|目录    
chcon -t     public_content_t     /var/ftp/westosfile1   不能改/var/ftp里面的，因为该目录下的文件原本的安全上下文就为public_content_t，改完再重启系统没有变化
chcon -Rt     public_content_t    /westosdir     修改目录及目录中的所有子文件的安全上下文
永久修改安全上下文：如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l          查看内核安全上下文列表 
semanage fcontext -a -t public_content_t  '/westosdir(/.*)?'    如果不加(/.*)?，则只是目录本身的安全上下文被记录了，目录里面的内容不会发生变化
restorecon -RvvF /westosdir/         使上述设定生效
touch  /.autorelabel         重启系统时selinux初始化文件标签开关文件

查看

临时修改

永久修改

 

 

四、SEBOOL

getsebool  -a                 查看现实服务的bool值
chcon -t public_content_rw_t /var/ftp/pub/    #安全上下文改为rw
setsebool  -P ftpd_anon_write on    更改（开启write开关），加-P表示永久开启，不加表示临时，重启后还会关闭

（不修改sebool情况下）在主配置文件中匿名用户可以上传的情况下，如果selinux为enforing，我们仍然无法上传文件；只有当selinux为disable或者permissive，我们才能上传文件：

 

 

五、SEPORT 

semanage port -l | grep http  %查看现实服务的port值列表，即系统允许更改的端口号
semanage port -a -t http_port_t -p tcp  1111    %更改
netstat -antlupe | grep httpd    %查看httpd的当前端口

 

 

 

六、setrouble 

/var/log/audit/audit.log      selinux警告信息
/var/log/messages            可在此日志中查找selinux问题解决方案
setroubleshoot-server       此软件功能是采集警告信息并分析得到解决方案存放到message中

semanage port -d -t ssh_port_t -p tcp 1111
> /var/log/audit/audit.log
>/var/log/messages

systemctl restart sshd
systemctl stop sshd

 

 

 

 

重新安装，也就具备了解决问题的方法。 

但是它提供的方法只能保障达到我们想要达到的效果，不保证安全问题！