一、selinux功能
1.1
在selinux关闭状态中:
(1)在/mnt/中建立文件,文件安全上下文为空,文件被移动到ftp默认发布目录中可以被访问
(2)ftp程序安全上下文为空
(3)用户可以上传文件
当selinux开启以上功能操作均失败:
(1)
特定程序的安全上下文只能访问匹配的安全上下文文件,否则程序在访问文件时会被拒绝:
(2)
1.2
selinux:内核级加强防火墙
selinux功能:当selinux开启会给系统中的每一个文件及每一个程序加载安全上下文,特定安全上下文的程序只能访问特定安全上下文的文件。
当selinux开启会对服务本身相对不安全的功能加载开关sebool,并且设定开关为关闭状态以保证服务安全性,当需要此功能时,需要超级用户手动调节。
二、selinux状态
getenforce #查看selinux状态
状态类型: Disabled #关闭
enforcing #强制
permissive #警告
setenforce 0|1 #0表示警告模式,1表示强制模式
selinux开关:
reboot(转换状态都需要重启系统)
三、安全上下文
3.1 安全上下文的临时更改
chcon -t 安全上下文 文件
chcon -R 安全上下文 目录
lftp访问服务器会发现此文件可以被访问成功
3.2 永久更改目录或文件的安全上下文
(1)
(2)设定westos用户登录ftp服务时默认家目录为/ftpdir
重启服务
(3)当用westos用户登录ftp时,/ftpdir中的内容无法访问,因为selinux安全上下文不匹配
(4)查看系统内核安全上下文列表内容,显示列表中无信息
(4)此命令只添加信息,当前不生效,’(/.*)?'表示目录中将要出现的内容
(5)刷新文件安全上下文
四、sebool
sebool:selinux对服务功能添加的开关
查看ftp功能的开关:
表示开启此匿名用户写的功能:
结果:
五、setrouble
分析日志并提供解决方案: