Linux中内核级加强型火墙的管理

Selinux的功能

1.观察现象

当Selinux未开启时

在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问

匿名用户可以通过设置后上传文件

可以任意更改服务使用的端口

当selinux开启:

在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问

匿名用户可以通过设置后仍然不能上传文件

会限定程序随意使用端口

selinux：

对于文件的影响：

当selinux开启时，内核会对每个文件及每个开启的程序进行标签加载

标签内记录程序和文件的安全上下文（context）

对于程序功能的影响：

当selinux开启会对程序的功能加载开关，并设定此开关的状态为关闭

当需要此功能时需要手动开启功能开关

此开关叫做sebool

Selinux的状态及管理 

1.selinux的开启

vim /etc/selinux/config

7 SELINUX=disabled #selinux关闭

7 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启

7 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启

"selinux开启或关闭需要重启系统"

enforcing：

不符合条件一定不能被允许，并会收到警告信息

permissive：

不符合条件被允许，并会收到警告信息

selinux状态的查看：

getenforce

selinux开启后强制和警告级别的转换

setenforce 0 ##警告

setenforce 1 ##强制

selinux日志位置：

/var/log/audit/audit.log

Selinux的安全上下文 

1.查看

ls -Z ##查看文件的安全上下文

ls -Zd ##查看目录的安全上下文

ps axZ ##查看进程的安全上下文

2.修改安全上下文

#临时修改

#此方式更改的安全上下文在selinux重启后会还原

chcon -t         标签                            文件|目录

chcon -t         public_content_t         /var/ftp/westosfile1

chcon -Rt      public_content_t         /westosdir  #修改目录及目录中的所有子文件的安全上下文

#永久修改安全上下文

#如果需要特殊指定安全上下文需要修改内核安全上下文列表

semanage fcontext -l ##查看内核安全上下文列表

semanage fcontext -a -t public_content_t '/westosdir(/.*)?'

restorecon -RvvF /westosdir/

touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件

SEBOOL 

getsebool -a ##现实服务的bool值

setsebool -P ftpd_anon_write on #更改

SEPORT 

semanage port -l | grep ssh

semanage port -a -t ssh_port_t -p tcp 1111