selinux
SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。
selinux:内核级加强型防火墙
(对文件影响,安全上下文)对文件和服务进行标签,程序标签和文件标签不一致(看不了文件)
(对服务影响)把服务不安全的功能去掉,对程序功能进行限制,在内核上限制掉(删除不了了) selinux级别的管理vim /etc/sysconfig/selinux selinux=disabled ##关闭状态 selinux=Enforcing
##强制状态 selinux=Permissive ##警告状态enforcing-是强制模式系统,它受selinux保护。就是违反了策略你就无法继续操作下去。
permissive-是提示模式系统不会受到selinux保护,只是收到警告信息。permissive就是selinux有效,但是即使你违反了策略的话它让你继续操作,但是把你违反的内容记录下来(警告信息)
ftp_t安全上下文
只匹配content_t
类似美国护照来中国 不认
ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
看不见nihao文件
更改成content_t就可以出现
临时更改
chcon -t 安全上下文 文件
chcon -t public_content_t /publicftp -R
关掉内核火墙重启,打开内核火墙重启后 /westos的安全上下文还原
semanage fcontext -l | grep /westos ##内核上下文安全列表
永久更改
永久更改
semanage fcontext -l ##列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?’
restorecon -RvvF /publicftp/ ##R vv显示 F刷新
功能开关(波尔值),on/off 保证安全
本地用户不能上传
打开功能以后可以上传
匿名用户不能创建文件
开启功能
匿名用户可以上传
chcon临时更改 重起selinux恢复
-P 永久打开
setenforce 0警告拒绝 不拒绝
1强制警告拒绝
messages ##系统默认开启的日志记录
记录的内核消息,各种服务的公共消息,报错信息等
可以通过日志查看系统运行服务的运行情况解决问题
包括时间地点任务事件
audit.log ##审计日志
只有警告没有解决方案。当它被关闭时日志会到message下
*在哪里哪里有引导能力
988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
