selinux的安全上下文
安全上下文的作用:特定安全上下文的程序只能访问特定安全上下文的文件,否则访问失败,会被selinux拒绝
-
selinux未开启时
-
selinux开启后
编辑文件 /etc/selinux/config
-
selinux 对文件的影响
当selinux 开启时 内核会对每个文件以及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文
##selinux的状态及管理
开启
vim /etc/selinux/config
SELINUX=disabled #selinux关闭
SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启
selinux开启或关闭 需要重启系统
enforcing #不符合条件一定不被允许,并会收到警告信息
permissive #不符合条件 也被允许 会收到警告信息
selinux 的安全上下文
ls -Z 文件 #查看文件的安全上下文
ls -Zd 目录 #查看目录的安全上下文
ps axz 进程 #查看进程的安全上下文
#修改安全上下文
临时修改
此方式更改的安全上下文在selinux重启后会还原
chcon -t 标签 文件|目录
chcon -t public_content_t /vat/ftp/westosfile1
chcon -Rt public_content_t /westosdir #修改目录及目录中所有子文件的安全上下文
###永久修改安全上下文
如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l #查看内核安全上下文列表
semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’
restorecon -RvvF /westosdir/
touch /.autorelabel #重启系统时selinux初始化文件标签开关文件
##sebool
getsebool -a #显示服务的bool值
setsebool -P ftpd_anon_write on
semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp 1111