selinux的初级管理

1.SElinux,内核级加强型防火墙, SELinux[Security Enhanced Linux (安全强化 Linux)],是工作在内核中的MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复。

对于selinux的通俗理解:
       selinux,它给一些特定程序(这些程序也在不断增加)做了一个沙箱,它将文件打上了一个安全标签,这些标签属于不同的类,也只能执行特定的操作,也就是规定了某个应用程序设定了你可以访问那些文件或目录。

SElinux对系统的影响:

         对每个文件加标签,不同类的标签无法相互访问

         会影响的某些服务的功能

         一般情况下disabled,设置完后需要重启内核生效


2.SElinux管理级别
selinux开启或者关闭
vim /etc/sysconfig/selinux

wKioL1mFu5Tw9U-TAACAA0XD-xg180.png

selinux=disabled              关闭状态
selinux=Enforcing             强制状态
selinux=Permissive          警告状态

getenforce                         查看状态
当selinux开启时            两个运行运行级别

setenforce 0                      警告状态

setenforce 1                      强制状态             



3.更改文件安全上下文

(临时更改)
chcon -t 安全上下文    文件
chcon -t public_content_t /publicftp -R 


vsftpd/vsftpd.conf里更改匿名登陆加目录

wKiom1mIZ-qyhSt4AAAn-YjGDAY330.png

新建匿名加目录,由于新建的westos目录的上下文为default,所以在selinux开启的情况下,匿名用户lftp登陆无法看见

更改westos的上下文为public_content_t,更改后,匿名用户可以看见里头的文件



(永久更改)

上述方法修改上下文,重启selinux服务后会消失,下面为永久生效的方法

semanage fcontext -l       列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t '/publicftp(/.*)?' 内核永久设置publicftp的上下文为public_content_t
restorecon -FvvR /publicftp/         重新加载立即生效


wKioL1mIZ-ywzpSkAACkOb09t98965.png

wKiom1mIZ-7idpdWAAGuh0ST6T8193.png



4.SElinux服务功能的开关
getsebool -a | grep 服务名称
getsebool -a | grep ftp
setsebool -P 功能bool值 on|off  开启服务
setsebool -P ftp_home_dir on   可以在家目录里执行动作


(1)本地用户在开启SElinux情况下上传文件设置

在开启selinux服务后,服务禁止上传文件,开启家目录可执行动作的选项之后,可以上传文件

wKiom1mIa5PAWiqVAAFtqlkmZfc542.png


(2)匿名用户在开启SElinux情况下上传文件设置

vim /etc/vsftpd/vsftp.conf ,开启匿名可以上传的权限

wKioL1mIbWHAWO6OAABLN3_quxQ101.png

修改/var/ftp/pub的上下文

wKioL1mIbVvy3jSHAAE6MfgGXYk822.png

修改/var/ftp/pub权限后可以上传

wKiom1mIbWCQw5pKAABv00ays8A617.png


5.监控selinux的错误信息
setroubleshoot-server 服务

创建文件file1,将文件移动到/var/ftp/pub/下,由于selinux文件上下文不一致,所以无法看见pub下的file1文件

wKiom1mIbZPTZV_pAACAYmnhxzo147.png

清空日志 >/var/long/message

看看登陆日志 cat /var/long/message

wKioL1mIbZrAIn8UAAI8d_Izq7k360.png

wKiom1mIbZvTOQwwAAA7EiszJc4825.png

日志中有selinux的错误代码和解决建议

按照restorecon -v 的方案解决

wKiom1mIbZbgr6knAAC3NWOMY1A818.png

修复后,再次匿名登陆,可以看见文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值