一.Selinux的功能
1.观察现象
当Selinux未开启时
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"
ps auxZ | grep vsftpd时显示:
-root 8546 0.0 0.0 26952 408 ? Ss 10:35 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
当Selinux开启时:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd时显示:
system_u:system_r:ftpd_t:s0:c0.c1023 root 8546 0.0 0.0 26952 408 ? Ss 10:35 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
selinux:
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)
对于程序功能的影响:
当selinux开启时会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
二.Selinux的状态及管理
1.selinux的开启
vim /etc/selinux/config
7 SELINUX=disabled ##selinux关闭
7 SELINUX=enforcing ##selinux开机设定为强制此状态为selinux开启
7 SELINUX=permissive ##selinux开机设定为警告状态为selinux开启
"selinux"开启或关闭需要重启系统
enforcing:
不符合条件一定不能被允许,并会收到警告信息
permissive:
不符合条件被允许,并会收到警告信息
selinux状态的查看:;
getenforce
selinux开启后强制和警告级别的转换:
setenforce 0 ##警告
setenforce 1 ##强制
selinux日志位置:
/var/log/audit/audit.log
2.修改安全上下文
临时修改:
永久修改:
四.SEBOOL
getsebool -a ##现实服务的bool值
setsebool -P ftpd_anon_write on ##更改
五.SEPORT
semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp 1111
六.setrouble
#/var/log/audit/audit.log ##selinux警告信息
#/var/log/messages ##selinux问题解决方案
#setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放在message中
semanage port -d -t ssh_port_t -p tcp 1111
/var/log/audit/audit.log
/var/log/messages
systemctl restart sshd
systemctl stop sshd
dns服务部署
1.关于dns的名词解释
dns :
domain name service(域名解析服务)
关于客户端:
/etc/resolv.conf ##dns指向文件
nameserver 172.25,254.20
关于服务端:
bind ##安装包
named ##服务名称
/etc/named.conf ##主配置文件
/var/named ##数据目录
端口 ##53
关于报错信息:
1.no servers could be reached ##服务无法访问(服务?火墙?网络?端口?)
2.服务启动失败 ##配置文件写错 journalctl -xe查询错误
3.dig查询状态
NOERROR ## 表示查询成功
REFUSED ##服务拒绝访问
SERVFAIL ##查询记录失败(dns服务无法到达上级,拒绝服务)
NXDDMAIN ##此域名A记录在dns中不存在
2.dns服务的安装启用
安装:
dns install bind.x86_64 -y
启用:
systemctl enable --now named
firewall-cmd --permanent --add-service=dns
firewall-cm --reload
vim /etc/namd.conf
11 listen-on port 53 { any; } ##在本地所有网络接口上开启53端口
19 allow-query { any; } ##允许查询A记录的客户端列表
34 dnssec-validation no; ##禁用dns检测使dns能够缓存外部信息到本记录中
systemct restart named
3.高速缓存dns
20 forwarders { 114.114.114.114;}
4.dns的正向解析
1