一、Selinux的功能

1.觀察現象
當Selinux未開啟時

在/mnt中建立文件被移動到/var/ftp下可以被vsftpd服務訪問
匿名用戶可以通過設置后上傳文件
當使用ls -Z /var/ftp查看文件時顯示"?"
ps auxZ? | grep vsftpd 時顯示：
-??? root? 8546? 0.0? 0.0? 26952?? 408 ?? Ss 10:35? 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

當selinux開啟:
在/mnt中建立文件被移動到/var/ftp下不可以被vsftpd服務訪問
匿名用戶可以通過設置后仍然不能上傳文件
當使用ls -Z /var/ftp查看文件時顯示信息
ps auxZ? | grep vsftpd 時顯示：
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0? 0.0 26952?? 412 ???????? Ss?? 10:50?? 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux：
對于文件的影響：
當selinux開啟時，內核會對每個文件及每個開啟的程序進行標簽加載
標簽內記錄程序和文件的安全上下文（context）

對于程序功能的影響：
當selinux開啟會對程序的功能加載開關，并設定此開關的狀態為關閉
當需要此功能時需要手動開啟功能開關
此開關叫做sebool

二、Selinux的狀態及管理

1.selinux的開啟
vim /etc/selinux/config
7 SELINUX=disabled?? ?#selinux關閉
7 SELINUX=enforcing?? ?#selinux開機設定為強制狀態此狀態為selinux開啟
7 SELINUX=permissive?? ?#selinux開機設定為警告狀態此狀態為selinux開啟
"selinux開啟或關閉需要重啟系統"??

enforcing：
不符合條件一定不能被允許，并會收到警告信息

permissive：
不符合條件被允許，并會收到警告信息

selinux狀態的查看：
getenforce

selinux開啟后強制和警告級別的轉換
setenforce 0?? ?##警告
setenforce 1?? ?##強制

selinux日志位置：
/var/log/audit/audit.log

三、Selinux的安全上下文

1.查看
ls -Z?? ??? ?##查看文件的安全上下文
ls -Zd?? ??? ?##查看目錄的安全上下文
ps auxZ?? ??? ?##查看進程的安全上下文

2.修改安全上下文
#臨時修改
#此方式更改的安全上下文在selinux重啟后會還原?????? ***（重啟是指關閉后再次開啟）
chcon -t ?? ?標簽?? ??? ??? ?文件|目錄?? ?
chcon -t ?? ?public_content_t ?? ?/var/ftp/westosfile1
chcon -Rt ?? ?public_content_t?? ?/westosdir?? ?#修改目錄及目錄中的所有子文件的安全上下文

#永久修改安全上下文
#如果需要特殊指定安全上下文需要修改內核安全上下文列表

semanage fcontext -l ##查看內核安全上下文列表 semanage fcontext -a -t public_content_t '/westosdir(/.*)?' semanage fcontext -a -t public_content_rw_t '/var/ftp/pub(/.*)?' 增加寫的權限 restorecon -RvvF /westosdir/ touch /.autorelabel ##重啟系統時selinux初始化文件標簽開關文件

?

四、SEBOOL

getsebool -a ##現實服務的bool值 setsebool -P ftpd_anon_write on #更改

?

?

五、SEPORT

semanage port -l | grep http semanage port -a -t http_port_t -p tcp 6666 semanage port -d -t httpd_port_t -p tcp 6666 systemctl restart httpd systemctl stop httpd

?

六、setrouble

#/var/log/audit/audit.log ##selinux警告信息 #/var/log/messages ##selinux問題解決方案 #setroubleshoot-server ##此軟件功能是采集警告信息并分析得到解決方案存放到message中若將setroubleshoot-server卸載后新產生的日志解決方案將不會存放到message中 > /var/log/audit/audit.log 清空日志 > /var/log/messages lftp 172.25.254.101 ls quit cat /var/log/audit/audit.log cat /var/log/messages

?

?

?

?

?

總結

以上是生活随笔為你收集整理的Linux 中内核级加强型火墙的管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。