了解Selinux
内核以及加强型防火墙
作用:给系统中开启的程序和文件加载一个标签,特定程序和文件对应特定的标签,给所有的程序功能加载了一个开关,想要开启程序的某种功能,需要用超级用户手动开启。
Selinux的三个模式:
(1)Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELinux 策略规则授予或拒绝主体对目标的访问
(2)Permissive 宽容(警告模式)— SELinux 策略不强制执行,不实际拒绝访问,但会有拒绝信息写入日志
(3)Disabled 禁用(关闭模式)— 完全禁用SELinux
管理selinux级别
临时修改 | |
---|---|
getenforce | ##查看系统状态 |
setenforce 0/1 | ##更改selinux运行级别 |
永久修改 | |
vim /etc/sysconfig/selinux | ##打开selinux配置文件 |
selinux=disable | ##关闭状态 |
selinux=Enforcing | ##强制关闭 |
selinux=Permissive | ##警告状态 |
修改文件安全上下文
1.查看文件和目录的安全上下文
在selinux开启下进行
ls -Z ## 查看文件
ls -Zd ##查看目录
2.修改安全上下文
##临时修改安全上下文
chcon -t 安全上下文 文件
##列出内核安全上下文列表
semanage fcontext -l
## 将目录本身文件加载到安全上下文
semanage fcontext -a -t public_content_t 'westos(/.*)?'
3.selinux的bool值的设定
##查看文件相关的bool值
getsebool -a | grep 服务名称
##修改服务的bool值
setsebool -P 功能bool值 on/off
1.系统用户上传文件
设置相关bool值为 on
4.selinux系统排错
##查看selinux系统报错日志
var/log/audit/audit.log
##提供selinux系统报错解决方案的日志
var/log/message
##提供系统服务报错软件
yum install setroubleshoot-server