Linux学习16 SELINUX

本文介绍了Linux的SELinux系统,一个用于最小权限原则的安全子系统。通过`getenforce`查看其三种工作状态:强制、警告和关闭。在强制模式下,服务如ftp的权限受限,例如匿名用户无法上传文件。使用`ls -Z`查看文件上下文,`chcon`可临时修改。永久改变目录上下文涉及复杂步骤。当遇到SELinux错误,日志会记录在`/var/log/audit/audit.log`和`/var/log/messages`中。

概念:安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
作用:SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
工作状态: 命令"getenforce"可以查看SElinux的状态,SElinux的状态分为以下三种:
Enforcing :强制模式
Permissive:警告模式
Disabled :关闭模式
SELinux 工作模式在 /etc/selinux/config 中设定。如果想从 disabled 切换到 enforcing 或者 permissive 的话,需要重启系统。而在enforcing 和 permissive 模式下,可以通过 setenforce 1|0 命令快速切换。在这里插入图片描述在这里插入图片描述
1.SElinux对服务的影响(以ftp为例)
SElinux会在文件上做出上下文标识,例如在"/mnt"和"/var/ftp/pub"下分别建立文件的文件,输入"ls -Z"可以查看文件安全上下文。由于安全上下文不同,将"/mnt/file"移入"/var/ftp/pub"目录下,连接lftp无法看到这个文件。在这里插入图片描述
强制状态时,匿名用户无法上传文件;警告状态时,发出警告,但上传成功。
在这里插入图片描述
本地student用户警告状态时,上传文件成功,强制状态时,上传文件失败。
在这里插入图片描述
查看与ftp服务有关的布尔型规则。
在这里插入图片描述
开启ftp的上传功能。
在这里插入图片描述在这里插入图片描述
安全上下文。
查看安全上下文:SElinux会在目录和文件上留下上下文标识,命令"ls -Z"可以查看。
修改安全上下文:命令"chcon -t 上下文 文件"可以更改文件和目录的上下文标识,就可以解决上述中lftp无法看到其他上下文标识文件的问题。注意,此修改为临时。
在这里插入图片描述
将匿名用户登陆的家目录改为"/var/yan",并将/yan的目录及其子文件安全上下文使用chcon命令改为"public_content_t",连接lftp可以看到这个家目录。但是将SElinux的状态改为"disabled"重启后再改回"enforcing",重启后重新连接lftp,发现/yan的目录及其子文件安全上下文恢复原样。在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
永久改变目录的上下文标识,需要做如下步骤:
在这里插入图片描述在这里插入图片描述
SELinux 日志。
在SElinux的使用当中,会出现一些错误,例如因为文件的安全上下文不同,连接lftp后无法看到里面的文件,SElinux就会记录日志。
SElinux的日志会记录在"/var/log/audit/audit.log"和文件"/var/log/messages"中,前者只会说明错误,但是不会提供解决办法。"/var/log/messages"文件可以详细的记录错误,并且提供解决方法。
SElinux的记录软件是"setroubleshoot-server.x86_64",可以yum search selinux 查找到该软件。
在没有"setroubleshoot-server.x86_64"这个软件的情况下,清空日志后,发现日志中并不会记录这个错误。
下面以因为文件的安全上下文不同,连接lftp后无法看到里面的文件为例。
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值