selinux(Security-Enhanced Linux)安全增強(qiáng)型linux���,是一個(gè)Linux內(nèi)核模塊��,也是Linux的一個(gè)安全子系統(tǒng)�。
三種模式:
Enforcing:強(qiáng)制模式��,在selinux運(yùn)作時(shí),已經(jīng)開始限制domain/type���。
permissive: 警告模式���,在selinux運(yùn)作時(shí)����,會(huì)有警告訊息,但不會(huì)限制domain/type的存取�����。
disabled: 關(guān)閉模式�。
可用getenforce查看selinux狀態(tài)
selinux對(duì)文件的作用:
當(dāng)開啟selinux后,selinux會(huì)給每個(gè)文件加載標(biāo)簽context,安全上下文必須配對(duì)��,否則文件不能訪問
測(cè)試:
###開啟selinux
創(chuàng)建文件�,移動(dòng)到ftp發(fā)布目錄
touch /mnt/filemv /mnt/file /var/ftp/
用戶登陸ftp查看文件
可以發(fā)現(xiàn)前面移動(dòng)到ftp中的文件匿名用戶不能看
但是該文件存在于ftp目錄中
查看file的安全上下文
ls -Z /var/ftp/
可以看到兩個(gè)文件的安全上下文并不相同,因此不會(huì)顯示�����。
臨時(shí)修改安全上下文
chcon -t public_content_t /var/ftp/file
登陸ftp查看文件
由于安全上下文對(duì)應(yīng)一致�����,所以可以顯示file該文件
chcon只是對(duì)安全上下文的臨時(shí)修改,當(dāng)系統(tǒng)selinux重啟后��,修改則會(huì)失效���。
###永久修改安全上下文
##創(chuàng)建自己的ftp家目錄�,修改該目錄安全上下文標(biāo)簽
mkdir /ftphomesemanage fcontext -a -t pubilc_content_t ‘/ftphome(/.*)?‘
###查看該目錄的安全上下文
這里可以看到安全上下文標(biāo)簽并沒有修改����,我們需要重啟內(nèi)核列表服務(wù)
restorecon -RvvF /ftphome###R:遞歸 vv:顯示目錄下的子目錄或文件修改信息,F(xiàn):強(qiáng)制設(shè)置目錄中文件和目錄安全上下文一致
安全上下文已經(jīng)修改完成
selinux對(duì)服務(wù)的作用:
selinux對(duì)服務(wù)的作用相當(dāng)于給服務(wù)加上開關(guān)���,該開關(guān)默認(rèn)關(guān)閉�。1:打開開關(guān)�����;0:關(guān)閉開關(guān)
selinux打開狀態(tài)下��,我們通過登陸ftp測(cè)試selinux對(duì)服務(wù)的開關(guān)作用�。
用戶不能對(duì)文件進(jìn)行上傳,刪除等操作
查看selinux對(duì)ftp開關(guān)狀態(tài)
都是處于關(guān)閉狀態(tài)�,因此對(duì)用戶權(quán)限有限制
打開功能開關(guān)
setsebool -P ftp_home_dir onsetsebool -P ftpd_anon_write on
重新登陸ftp,用戶可以上傳文件
安裝setroubleshoot ,可以對(duì)selinux錯(cuò)誤日志�,可以提供解決方案
/var/log/audit/audit.log ###記錄selinux采集的日志
下/var/log/audit/audit.log ###記錄selinux采集的日志
總結(jié)
以上所述是小編給大家介紹的Linux中selinux基礎(chǔ)配置教程詳解,希望對(duì)大家有所幫助��,如果大家有任何疑問請(qǐng)給我留言���,小編會(huì)及時(shí)回復(fù)大家的���。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持�����!
