Linux中的SELINUX介绍

1、什么是selinux？

selinux作为内核型的加强性防火墙，提高对系统的安全保护，通过selinux对系统中的文件和资源添加标签，从而提高安全性

2、selinux安全级别

Disabled                                                               不警告不拒绝

Enforcing                                                               强制不可以访问

Permissive                                                            警告但可以访问

3、查看更改selinux状态

（1）查看状态

命令：getenforce

（2）修改状态

永久修改

配置文件路径：/etc/sysconfig/selinux

修改后重新启动方可生效

临时修改

命令：setenforce 0/1                                  permissive/enforcing

注：仅能在当前状态非Disabled修改，若想修改为disabled必须在配置文件中修改。

4、安全上下文的更改

当selinux为enforcing状态时，开机初始化时将会给系统中的文件添加安全上下文，当安全上下文不匹配时将无法访问。

例：

（1）ftp服务中使用匿名用户默认登陆目录/var/ftp/

命令：ls -Z

可以查看到当前目录下的目录安全上下文为public_content_t

使用匿名用户登陆,可查看

（2）修改匿名用户的家目录为/test

该目录下的文件Istest安全上下文为default_t

使用匿名用户登陆

无法查看到该文件

（2）修改安全上下文

临时修改：chcon -t public_content_t /test/ -R

将/test目录下所有文件和目录安全上下文设定，当selinux重新启动后将失效

匿名用户重新登陆后可查看到文件

永久修改：

查看系统设定/var/ftp的标签

命令：semanage fcontext -l |grep /var/ftp

对/test进行设定

命令：semanage fcontext -a -t public_content_t '/test(/.*)?'                         设定

            restorecon -RvvF /test/                                                                           刷新

（3）检测修改

（4）修改其具有上传功能

当前无法上传

查看上传功能是否开启

命令：getsebool -a |grep ftp

设置上传开关

命令：setsebool -P ftpd_anon_write on（-P为永久设定）

更改目录的安全上下文

命令：chcon -t public_content_rw_t /var/ftp/pub

修改vsftpd配置文件设置为匿名用户可以上传

上传测试

5、selinux日志

需安装setroubleshoot-server.x86_64软件

/var/log/message                                                        该日志将会收到setroubleshoot发送的消息，并对selinux的报错提供报错

/var/log/audit/audit.log                                                该日志仅显示selinux的错误，并不提供解决方案。