本文详细介绍了SELinux的管理配置方法,包括开启与关闭状态、安全上下文的修改、SEBOOL值的设置以及SEPORT的管理等内容。通过本文,读者可以了解如何在Linux系统中有效地管理和配置SELinux。
selinux开启
对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context) ”ls -Z 文件名 “可以查看该文件的安全上下文
<>
对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool
Selinux的状态及管理
selinux的开启
vim /etc/selinux/connfig
SELINUX=disabled #selinux关闭
SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
“selinux开启或关闭需要重启系统”
三种状态
enforcing: 不符合条件一定不能被允许,并会收到警告信息
permissive:不符合条件被允许,并会收到警告信息
disable : selinux 关闭,服务并不会受到影响
selinux状态的查看:
getenforce
selinux 在开启状态强制和警告状态的切换
setenforce 0 ##警告
setenforce 1 ##强制
selinux日志位置: /var/log/audit/audit.log
安全上下文的修改
查看
ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps auxZ ##查看进程的安全上下文
selinux开启提供的安全上下文对文件的影响:
对于vsftpd服务,当selinux开启时,服务端在默认发布目录下的文件,如果安全上下文不是public_content_t ,则在客户端就看不到该文件
当修改selinux状态为警告模式,
在修改selinux的状态为警告模式之后,虽然能查看该文件,但是在日志中仍然有报错
为了使selinux在强制模式下,也能访问到该文件,可以通过修改文件的安全上下文来达到效果
临时修改安全上下文
此方式更改的安全上下文在selinux重启后会还原
chcon -t public_content_t /var/ftp/file
chcon -Rt public_content_t /var/ftp/qwe #修改目录及目录中的所有>子文件的安全上下文
永久修改安全上下文
如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l #查看内核安全上下文列表
修改匿名用户的发布目录为/westos ,在/westos/下创建5个文件,
semanage fcontext -a -t public_content_t ‘/westos(/.*)?’
restorecon -RvvF /westos/
touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件
sebool 值
当selinux 打开之后,只是修改vsftpd服务的主配置文件中的上传功能,并不能使匿名用户具有上传功能,因为selinux打开之后,会自动给服务加一个bool值,用来控制服务的开关
getsebool -a #显示服务的bool值
setsebool -P ftpd_anon_write on #更改
chcon -t public_content_rw_t /westos/pub/
SEPORT
当selinux 开启时,系统默认一些服务只能使用固定端口,例如httpd 80sshd 22 ,
通过服务的主配置文件时不能修改该端口的。
semanage port -l #查看selinux提供的固定端口列表
semanage port -a -t ssh_port_t -p tcp 6666 #添加一个默认端口
测试:
semanage port -d -t ssh_port_t -p tcp 6666 #删除默认端口
setrouble
/var/log/audit/audit.log ##selinux警告信息
/var/log/messages ##selinux问题解决方案
#setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放到message中
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
