Linux入门之内核级防火墙的设定（selinux）

SELinux&＃xff0c;内核级加强型防火墙&＃xff0c;是基于内核开发出来的一种安全机制&＃xff0c;它有力的保障了系统的安全。它的作用主要有两方面&＃xff0c;一方面是在服务上添加安全上下文&＃xff08;标签&＃xff09;&＃xff0c;安全上下文匹配才能通过&＃xff0c;不匹配&＃xff0c;则会被过滤&＃xff1b;另一方面&＃xff0c;则是在功能上进行限制&＃xff0c;也就是功能开关处于关闭状态&＃xff0c;如果要使用某些功能&＃xff0c;就需要打开功能开关。

lftp服务的使用可以参考ftp服务部署文章&＃xff0c;这里不过多解释ftp服务的搭建。

 一、selinux不同状态是否可以查看标签不同的文件

getenforce ##查看内核级防火墙的状态
vim /etc/sysconfig/selinux ##配置文件&＃xff0c;用于修改防火墙状态
##强制状态和关闭状态的相互转化&＃xff0c;需要在配置文件中修改&＃xff0c;同时reboot重启才能生效

在警告状态和强制状态下分别观察标签不匹配的文件是否能够查看

setenforce 0 ##强制状态&＃xff08;enforcing&＃xff09;转化为警告状态&＃xff08;permissive&＃xff09;
setenforce 1 ##警告状态转化为强制状态

 1. 警告状态下&＃xff0c;可以查看安全上下文不一致的文件

2. 强制状态下&＃xff0c;不能查看安全上下文不一致的文件 

通过改变某一文件的安全上下文&＃xff0c;该文件就可以在强制状态下被查看

chcon -t public_content_t westosfile ##修改文件的安全上下文

二、临时更改安全上下文

mkdir -p /ftpdir/pub ##创建发布目录
vim /etc/vsftpd/vsftpd.conf ##更改默认发布目录

1.  准备工作&＃xff1a;创建一个发布目录&＃xff0c;我们在配置文件修改匿名用户登录后&＃xff0c;进入的目录。

2. 临时修改安全上下文

 我们创建的发布目录与默认发布目录/var/ftp/pub的安全上下文是不一致的&＃xff0c;为此我们可以临时的修改发布目录的安全上下文

chcon -t public_content_t /ftpdir/ -R ##临时设定该文件的上下文

&＃xff08;1&＃xff09;将当前的强制状态&＃xff08;enforcing&＃xff09;改为关闭 状态&＃xff08;disabled&＃xff09;&＃xff0c;然后重启

&＃xff08;2&＃xff09; 在关闭状态下&＃xff0c;我们发现该目录的安全上下文没有改变&＃xff0c;我们再次设置内核级防火墙的状态为强制状态&＃xff08;enforcing&＃xff09;&＃xff0c;然后重启。

 在强制状态下&＃xff0c;我们查看该目录的安全上下文&＃xff0c;发现安全上下文恢复

两次状态设置和两次系统的重启&＃xff0c;我们会发现通过【chcon】命令修改安全上下文&＃xff0c;只是临时的&＃xff0c;那么怎样才能使安全上下文的改变是永久的&＃xff1f;

三、永久更改安全上下文

semanage fcontext -l | grep /var/ftp/ ##查看永久安全标签的设置

ls -Zd /ftpdir ##查看该目录的安全上下文
ls -Z /ftpdir/* ##查看该目录下文件的安全上下文
semanage fcontext -a -t public_content_t &＃39;/ftpdir(/.*)?&＃39; ##对该目录及目录下的所有文件设置永久上下文
semanage fcontext -l | grep /ftpdir ##查看设置是否生效
restorecon -RvvF /ftpdir ##刷新所有文件&＃xff0c;使更改生效

 通过查看/var/ftp目录安全上下文的永久设置&＃xff0c;我们可以通过【semanage】命令进行永久安全上下文的设置&＃xff0c;在我们设置&＃xff0c;该目录下的所有子文件可能还没有改变&＃xff0c;我们需要通过【restorecon】命令进行文件的更新&＃xff0c;使所有的更改生效。

四、强制状态下的上传权限设置

1. 关闭状态下文件可上传

2. 警告状态下文件的上传

3. 强制状态下的上传文件

getenforce ##查看防火墙状态
若为enforcing则不用修改&＃xff0c;若为permissive则需要执行以下操作
setenforce 1 ##内核级防火墙设置为强制状态&＃xff0c;不用重启

&＃xff08;1&＃xff09;现象&＃xff1a;在强制状态下不允许上传文件

&＃xff08;2&＃xff09;解决方法 

 1&＃xff09;内核级防火墙强制状态下&＃xff0c;功能开关都是关闭的&＃xff0c;我们需要打开功能开关&＃xff0c;让配置文件允许的功能可以使用。由于在准备工作中已经将配置问件中的功能已经开启了&＃xff0c;这里不再过多解释。

getsebool -a | grep ftp ##查看关于ftp服务的开关
setsebool -P ftp_home_dir on ##开启功能
setsebool -P ftpd_anon_write 1 ##开启上传功能
vim /etc/vsftpd/vsftpd.conf ##在配置文件中打开上传功能
anon_upload_write&＃61;YES
systemctl restart vsftpd ##重启服务
chmod 775 /var/ftp/pub ##将权限调大&＃xff08;出现553权限过小时&＃xff0c;进行的操作&＃xff09;
chgrp ftp /var/ftp/pub ##修改用户组

2&＃xff09;将内核级防火墙中的功能开关打开&＃xff0c;我们会发现还是不能上传文件&＃xff0c;在修改好文件的权限和用户组后&＃xff0c;还需要将安全上下文改为可读写&＃xff0c;这样就可以上传文件了。

chcon -t public_content_rw_t /var/ftp/pub/ ##修改安全上下文&＃xff0c;使它变为可写
ls -Zd /var/ftp/pub ##查看该目录的安全上下文&＃xff0c;看更改是否生效

五、问题解决工具setroubleshoot

1. 现象1&＃xff1a;由于不同位置文件的标签不同&＃xff0c;通过移动文件到/var/ftp/pub中&＃xff0c;标签不一致&＃xff0c;内核防火墙不允许通过&＃xff0c;产生问题&＃xff0c;但系统中存在一个可以可供解决问题的软件setroubleshoot。

> /var/log/messages
> /var/log/audit/audit.log ##清空日志信息
cd /mnt
mv mntfile /var/ftp/pub

查看日志文件&＃xff0c;我们会发现有错误提示&＃xff0c;并且提供了解决问题的方法。

2. 现象2&＃xff1a;卸载setroubleshoot软件&＃xff0c;观察是否还会有问题解决建议

注意&＃xff1a;一定要保存好该软件的软件安装包或者是有yum仓库&＃xff0c;不然卸载该软件后&＃xff0c;没有软件安装包&＃xff0c;以后出错就没有建议了

再次移动安全上下文不一致的文件到/var/ftp/pub目录下&＃xff0c;同时清空之前的日志信息&＃xff0c;再次登录lftp查看 

查看日志文件&＃xff0c;我们发现没有问题解答建议。 

做完实验&＃xff0c;记得将该软件重新安装。

yun install setroubleshoot.x86_64 -y