从零学习Linux操作系统第十八部分内核级加强型防护插件

一、什么是selinux

getenforce 查看selinux状态
在这里插入图片描述
当Selinux未开启时:
1、在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问

2、ls -Z /var/ftp查看文件时显示"?"

3、匿名用户可以通过设置后上传文件

当selinux关闭
vim /etc/sysconfig/selinux
从零学习Linux操作系统第十八部分内核级加强型防护插件_第1张图片
reboot 重启系统后
在这里插入图片描述
1、在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问

2、当使用ls -Z /var/ftp查看文件时显示属性信息(安全上下文)

3、匿名用户不能上传

selinux:
1、对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文
2、对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

二、selinux的常用控制手段

1.selinux的开启

在这里插入图片描述vim /etc/selinux/config

从零学习Linux操作系统第十八部分内核级加强型防护插件_第2张图片
getenforce 查看selinux状态
从零学习Linux操作系统第十八部分内核级加强型防护插件_第3张图片

selinux开启后强制和警告级别的转换
setenforce 0 警告
setenforce 1 强制
从零学习Linux操作系统第十八部分内核级加强型防护插件_第4张图片
建立一个文件
从零学习Linux操作系统第十八部分内核级加强型防护插件_第5张图片
开机时也可手动指定selinux的状态(临时)
从零学习Linux操作系统第十八部分内核级加强型防护插件_第6张图片

selinux日志位置:
/var/log/audit/audit.log

三、如何控制文件的安全上下文

1 查看

ls -Z 查看文件的安全上下文
ls -Zd 查看目录的安全上下文
ps aux -Z 查看进程的安全上下文

从零学习Linux操作系统第十八部分内核级加强型防护插件_第7张图片

2 修改安全上下文
2.1 临时修改(此方式更改的安全上下文在selinux重启后会还原)

chcon -t 标签 文件/目录
chcon -t public_content_t /var/ftp/westosfile1

chcon -Rt 修改目录及目录中的所有子文件的安全上下文

2.2永久修改安全上下文(如果需要特殊指定安全上下文需要修改内核安全上下文列表)

semanage fcontext -l 查看内核安全上下文列表
semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’
从零学习Linux操作系统第十八部分内核级加强型防护插件_第8张图片
restorecon -RvvF /westosdir/ 刷新
touch /.autorelabel 重启系统时selinux初始化文件标签开关文件

如果不想要

semanage fcontext -d -t public_content_t ‘/westosdir(/.*)?’ 删除

四、sebool值的控制

getsebool -a 现实服务的bool值
getsebool -a | greo ftp 过滤出ftp所有的bool值

从零学习Linux操作系统第十八部分内核级加强型防护插件_第9张图片
chcon -t public_content_rw_t /var/ftp/pub/
从零学习Linux操作系统第十八部分内核级加强型防护插件_第10张图片

setsebool -P ftpd_anon_write on #更改
从零学习Linux操作系统第十八部分内核级加强型防护插件_第11张图片

五、selinux对于服务端口的管理及优化

semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp 2222
从零学习Linux操作系统第十八部分内核级加强型防护插件_第12张图片
即使把selinux设定为强制模式,也是可以正常使用2222端口

若想要删除
semanage port -d -t ssh_port_t -p tcp 2222
从零学习Linux操作系统第十八部分内核级加强型防护插件_第13张图片

六、selinux问题的排除方法

selinux的日志文件 /var/log/audit/audit.log
日志里只会有报错信息
从零学习Linux操作系统第十八部分内核级加强型防护插件_第14张图片

selinux问题解决方案 /var/log/messages
从零学习Linux操作系统第十八部分内核级加强型防护插件_第15张图片
setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放到message中

如果卸载此软件 selinux的排错和解决问题的帮助将不会出现在日志中

你可能感兴趣的:(学习,linux,运维)