首页 > 代码库 > II 第十单元selinux的初级管理
II 第十单元selinux的初级管理
1.什么时selinux
selinux,内核级加强型防火墙
基本 SELINUX 安全性概念
SELINUX ( 安全增强型 Linux ) 是可保护你系统安
全性的额外机制
在某种程度上 , 它可以被看作是与标准权限系统并行
的权限系统。在常规模式中 , 以用户身份运行进程,
并且系统上的文件和其他资源都设置了权限 ( 控制
哪些用户对哪些文件具有哪些访问权 SELINUX 的
另一个不同之处在于 , 若要访问文件 , 你必须具有普
通访
问权限和 SELINUX 访问权限。因此 , 即使以超级
用户身份 root 运行进程 , 根据进程以及文件或资源
的 SELinux 安全性上下文可能拒绝访问文件或资
源限 ) 标签
2.如何管理selinux级别
selinux开启或者关闭)
vim /etc/sysconfig/selinux
selinux=disabled ##关闭状态
selinux=Enforcing ##强制状态
selinux=Permissive ##警告状态
getenforce ##查看状态
当selinux开启时
setenforce 0|1 ##更改selinux运行
– 0 表示 permissive# 警告
– 1 表示 enforcing # 强制
3.如何更改文件安全上下文
selinux 安全上下文访问规则
WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文
system_u:system_r:httpd_t 标签。该上下文的重要部分
是第三个用冒号分隔的字段 SELINUX 类型 :httpd_t
系统上的文件和资源也设置了 SELINUX 上下文标签 ,并
且重要的部分是 SELINUX 类型。例如 ,/var/www/html 中
的文件具有类型 httpd_sys_content_t 。/tmp 和
/var/tmp 中的文件通常具有类型 tmp_t
Seliux 策略具有允许以 httpd_t 身份运行的进程访问标记
为 httpd_sys_content_t 的文件的规则。没有规则允许这
些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即
使常规文件权限指出应该允许这些访问
临时更改)
显示 SELinux 文件上下文
什么确定文件的初始 SELinux 上下文 ? 通常是父目录。将父
目录的上下文指定给新创建的文件。这对 vimcp 和touch 等
命令其作用 , 但是 , 如果文件是在其他位置创建的并且保留了权
限 ( 与 mv 或 cp -a 一样 ) 则还将保留SELinux 上下文
许多处理文件的命令具有一个用于显示或设置 SELinux 上下
文的选项 ( 通常是 -Z ) 。例如 , ps 、 ls 、 cp 和 mkdir 都
使用 -Z 选项显示或设置 SELinux 上下文
显示上下文
– ps axZ
– ps -ZC
– ls -Z
chcon -t
一次性定制安全上下文,执行 restorecon 刷新后还原
chcon -t 安全上下文文件
chcon -t public_content_t /publicftp -R
254 touch /mnt/westos
260 mv /mnt/westos /var/ftp/pub/
261 ls -Z /var/ftp/pub/
262 ps auxZ | grep vsftpd
263 chcon -t public_content_t /var/ftp/pub/westos
264 ls -Z /var/ftp/pub/
永久更改)
semanage fcontext -l ##列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?‘
restorecon -FvvR /publicftp/
4.如何控制selinux对服务功能的开关
getsebool -a | grep 服务名称
getsebool -a | grep ftp
setsebool -P 功能bool值on|off
setsebool -P ftpd_anon_write on
5.监控selinux的错误信息
setroubleshoot-server
II 第十单元selinux的初级管理