linux系统的selinux管理
本文共 2160 字,大约阅读时间需要 7 分钟。
一、linux的selinux服务
内核级加强型防火墙 1.针对文件会对系统中每个文件添加安全上下文 2.针对进程,会对系统中的每个进程添加安全上下文 3.在系统服务上设定sebool开关 4.当进程安全上下文和文件的安全上下文不匹配时,进程无法访问此文件 5.sebool会限制服务的不安全功能,必须调整sebool值 selinux的状态| enforcing | 强制状态 |
|---|---|
| permissive | 警告状态 |
| disable | 关闭状态 |
管理selinux配置文件
vim /etc/sysconfig/selinuxsetenforce 0|1
更改selinux当前级别为0(警告) 1 表示(强制)
当selinux从关到开,或者从开到关需要重启系统 步骤: 1.保证重置server新环境 2.配置网络:vim /etc/sysconfig/network-scripts
IPADDR NETMASK BOOTPROTO=none DEVICE ONBOOT
2.给server 配置本地yum源: mkdir /westos
mount /dev/cdrom /westos(新方法将镜像塞入光驱,将光驱挂载)
进入 /westos/查看是否有Packages
/etc/yum.repos.d/查看并编辑为.repo的文件 
yum clean all
yum repolist 检测
3.3.下载ftp: yum install vsftpd lftp 
开启服务: systemctl start vsftpd 开机自启: systemctl enable vsftpd 
加入防火墙: firewalld-cmd --permanent --add-service=ftp
加载:firewall-cmd --reload
firewalld-cmd --list-all 
4.查看selinux状态:getenforce 
二、selinux的状态为enfocing时的影响 1.对新建文档的影响 lftp 172.25.254.xxx建立文件: touch /mnt/haha 移动到ftp下: mv /mnt/haha /var/ftp/pub 进入到/var/ftp/pub查看(看不见) 
修改状态为disable 
建立文件移动之后进入查看发现存在 
2.对功能的影响 1.修改ftp 配置文件为匿名可以上传:anon_upload_enable=YES 
重启服务修改组别:chgrp ftp /var/ftp/pub 给权限: chmod 775 /var/ftp/pub 
lftp 172.25.254.xxx进入pub 上传 put /etc/passwd 
三、解决安全上下文不一致的问题1
1.查看上下文:ls -Zd /var/ftp ls -Zd /mnt/
方法一:临时更改
1.进入/var/ftp/pub 建立新文件: touch /mnt/linux 移动:mv /mnt/linux /var/ftp/publftp lftp lftp 172.25.254.xxx 进入到pub ls查看发现不存在 查看 ls -Z /mnt/linux ls -Z /var/ftp/pub
临时更改安全上下文
chcon -t public_content_t /mnt/linux
移动 mv /mnt/linux /var/ftp/pub
建立目录mkdir /ftpdir 查看 ls -Zd /ftpdir/ 进入目录建立文件:touch /ftpdir/file{1..2} 
方法二:永久更改: semanage fcontext -l | grep /var/ftp 
semanage fcontext -l | grep /ftpdir
贴标签:
semanage fcontext -a -t public_context_t ‘ftpdir(/.*)?'
查看semanage fcontext -l | grep /ftpdir
查看ls -Zd /ftpdir/ 
刷新 restorecon -Rvvf /ftpdir/ 四、设置状态为enfocing时仍然可以上传文件 测试:lftp 进入到pub 查看上传put /etc/passwd失败 
更改 chcon -t public_content_rw_t /var/ftp/pub 查看bool值: getsebool -a | grep ftp
chcon -t public_content _rw_t /var/ftp/pub
查看ftp匿名用户所有能干的事情的状态:
setsebool -P ftpd_anon_write on(1)
进入配置文件vim /etc/vsftpd/vsftpd.conf
设置匿名用户可以上传
重启服务 修改组别:chgrp ftp /var/ftp/pub 给权限:chmod 775 /var/ftp/publftp 
进入pub 试着上传 put /etc/passwd 
转载地址:http://ulwki.baihongyu.com/
你可能感兴趣的文章
Java 变量名
查看>>
Java 四舍五入运算
查看>>
Spring Batch 例子: 运行系统命令
查看>>
解析输入
查看>>
格式化输出
查看>>
Java 大数值
查看>>
括号及后向引用
查看>>
Spring Batch 核心概念
查看>>
Spring Batch 例子: 导入分隔符文件到数据库
查看>>
非贪婪匹配
查看>>
Spring Batch 例子: 导入定长文件到数据库
查看>>
匹配时刻
查看>>
为数值添加逗号
查看>>
忽略大小写匹配
查看>>
全局匹配模式
查看>>
Java 日期时间
查看>>
Java 字符串
查看>>
Spring Batch 例子: 从数据库导出分隔符文件
查看>>
元字符终极总结
查看>>
八进制转义
查看>>