本文介绍了SELinux的基本概念,包括其作为内核级防火墙的功能特性,如何配置SELinux的不同运行模式,以及如何通过设置文件上下文和调整服务功能开关来管理SELinux。此外,还提供了详细的故障排查步骤。
1、selinux ----内核级加强型防火墙
(1)针对文件,会对系统中的每个文件添加安全上下文(context)
(2)针对进程,会对系统中的每个进程添加安全上下文(context)
(3)会在系统服务额上设定sebool开关
(4)当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
(5)sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值
2、管理selinux
开关selinux
vim/etc/sysconfig/selinux
SELINUX=enforcing ---selinux开启,级别为强制
SELINUX=permissive ---selinux开启,级别为警告
SELINUX=disabled ---selinux关闭
注意:当selinux状态改变需要重启系统
2、seliux对文件上下文的设定
(1)临时更改
chcon-t安全上下文文件
chcon-t public_content _t /var/ftp/file1
(2)永久更改
semanagefcontext -l ---列出内核安全上下文列表内容
semanagefcontext -a -t public_content_t '/publicftp(/.*)?' ---a添加,t类型
restorecon-FvvR /publicftp/ ---刷新
setenforce0|1 ---更改selinux运行级别,0表示警告,1表示强制
getenforce ---查看selinux状态
3、控制selinux对服务功能的开关sebool
getsebool-a | grep服务名称
getsebool-a | grep ftp
setsebool-P功能bool值on|off
setsebool-P ftp_home_dir on
4、排错
/var/log/messages ---是setroubleshoot软件分析总结后的
/var/log/audit/audit.log ---是setroubleshoot软件分析总结后的日志真正的所在位置,messages里面可以没有,该目录下一定有
下面以查看ftp下的文件为例介绍排错方法
首先清空日志,然后登陆ftp会发现看不到建立的文件
查看日志中的报错
找到节解决方按,执行,查看错误是否解决
扫一扫
470
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
