Linux中的SELINUX介绍

1、什么是selinux?

selinux作为内核型的加强性防火墙,提高对系统的安全保护,通过selinux对系统中的文件和资源添加标签,从而提高安全性

2、selinux安全级别

Disabled                                                               不警告不拒绝

Enforcing                                                               强制不可以访问

Permissive                                                            警告但可以访问

3、查看更改selinux状态

(1)查看状态

命令:getenforce

(2)修改状态

永久修改

配置文件路径:/etc/sysconfig/selinux

修改后重新启动方可生效

临时修改

命令:setenforce 0/1                                  permissive/enforcing

注:仅能在当前状态非Disabled修改,若想修改为disabled必须在配置文件中修改。

4、安全上下文的更改

当selinux为enforcing状态时,开机初始化时将会给系统中的文件添加安全上下文,当安全上下文不匹配时将无法访问。

例:

(1)ftp服务中使用匿名用户默认登陆目录/var/ftp/

命令:ls -Z

可以查看到当前目录下的目录安全上下文为public_content_t

使用匿名用户登陆,可查看

Linux中的SELINUX介绍_第1张图片

(2)修改匿名用户的家目录为/test

该目录下的文件Istest安全上下文为default_t

使用匿名用户登陆

无法查看到该文件

(2)修改安全上下文

临时修改:chcon -t public_content_t /test/ -R

将/test目录下所有文件和目录安全上下文设定,当selinux重新启动后将失效

匿名用户重新登陆后可查看到文件

永久修改:

查看系统设定/var/ftp的标签

命令:semanage fcontext -l |grep /var/ftp

对/test进行设定

命令:semanage fcontext -a -t public_content_t '/test(/.*)?'                         设定

            restorecon -RvvF /test/                                                                           刷新

(3)检测修改

(4)修改其具有上传功能

当前无法上传

查看上传功能是否开启

命令:getsebool -a |grep ftp

Linux中的SELINUX介绍_第2张图片

设置上传开关

命令:setsebool -P ftpd_anon_write on(-P为永久设定)

更改目录的安全上下文

命令:chcon -t public_content_rw_t /var/ftp/pub

修改vsftpd配置文件设置为匿名用户可以上传

上传测试

5、selinux日志

需安装setroubleshoot-server.x86_64软件

/var/log/message                                                        该日志将会收到setroubleshoot发送的消息,并对selinux的报错提供报错

/var/log/audit/audit.log                                                该日志仅显示selinux的错误,并不提供解决方案。

 

 

 

 

 

 

 

你可能感兴趣的:(Linux学习)