1.SElinux的概念
1)SElinux为内核级加强型防火墙。SElinux是强制访问控制安区系统,是linux历史上最杰出的新安全系统。对linux安全模块来讲,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。
2)SElinux的三个模式
ENforcing----强制模式----selinux策略强制执行,基于selinux策略规则授予或拒绝主体对目标的访问。
Permissive----警告模式----策略不强制执行,不实际拒绝访问,但会有拒绝信息写入日志。
Disabled----关闭模式----完全禁用SElinux
2.如何管理SElinux级别
在配置文件/etc/sysconfig/selinux的配置文件中,可以更改selinux的级别。
enforcing和permissive之间可以由setenforce指令更改,但是如果要更改为disabled级别时,必须重启电脑。
selinux=disabled ###关闭状态
selinux=Enforcing ###强制状态
selinux=Permissive ###警告状态
3.如何更改文件安全上下文
semanage fcontext -l ###列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?’
restorecon -FvvR /publicftp/
4.sebool的设定
getsebool -a | grep 服务名称
getsebool -a | grep ftp
setsebool -P 功能bool值 on|off
setsebool -P ftpd_anon_write on
5.selinux的排错
在系统中,当我们出现错误时,在/var/log/audit/audit.log文件里面会给我们报错,但不会给出修改方案,在/var/log/messages文件里会给出我们报错的修改方案。
那是因为系统中存在setroubleshoot-server这个服务,它会自动帮我们给出问题解决方案。
当我们卸载该软件后,系统就无法自动给出方案,因此以后在企业中,我们要安装这个服务,来保证出错时系统自动给出解决方案。