linux中的selinux管理

• selinux的配置文件&＃xff1a;/etc/sysconfig/selinux

• selinux日志位置&＃xff1a;/var/log/audit/audit.log

• selinux的状态
  &＃xff08;1&＃xff09;selinux开启状态&＃xff1a;enforcing 强制状态 &＃xff1b;permissive 被动状态
  &＃xff08;2&＃xff09;selinux关闭状态&＃xff1a;disabled

• 当selinux开启时&＃xff0c;enforcing与permissive之间可以通过setenforce切换&＃xff1a;

  切换到permissive被动状态&＃xff1a;setenforce&＃61;0,不符合条件被允许&＃xff0c;并会收到警告信息切换到enforcing强制状态&＃xff1a;setenforce&＃61;1,不符合条件一定不能被允许&＃xff0c;并会收到警告信息


• selinux开启和关闭状态可以在配置文件中修改&＃xff0c;但是更改配置文件和必须重启系统才能生效

实验前的准备&＃xff1a;

• 开启vsftpd服务&＃xff1a; systemctl start vsftpd
• 在vsftpd中开启匿名访问和上传文件&＃xff1a; /etc/vsftpd/vsftpd.conf

2.1 当Selinux未开启时

• 在/mnt中建立文件&＃xff0c;移动到/var/ftp下可以被vsftpd服务访问
• 匿名用户可以通过设置后上传文件
• 当使用ls -Z /var/ftp查看文件时显示"?"

2.2 selinux处于关闭状态

• 关闭selinux&＃xff0c;在配置文件中修改&＃xff1a;/etc/selinux/config

• 在配置文件中切换selinux开启和关闭状态时&＃xff0c;必须重启系统reboot&＃xff1a;

1. selinux在强制状态时

• 查看selinux的状态&＃xff1a;getenforce

• 新建文件/mnt/westos1&＃xff0c;将该文件移动到目录&＃xff1a;/var/ftp/pub
  westos1文件存在于目录/var/ftp/pub中&＃xff0c;登陆ftp&＃xff0c;进入pub目录后看不到westos1

• 匿名用户不能上传文件

2. selinux在被动状态时

• 切换selinux的状态为被动状态&＃xff1a;setenforce 0
• 查看selinux的状态&＃xff1a;getenforce

• 匿名用户上传文件生效&＃xff1a;

• 新建文件/mnt/westos2&＃xff0c;将该文件移动到目录&＃xff1a;/var/ftp/pub
  westos2文件存在于目录/var/ftp/pub中&＃xff0c;登陆ftp&＃xff0c;进入pub目录后看不到westos2&＃xff0c;是因为westos2的安全上下文和/var/ftp中文件的安全上下文不一致

&＃xff08;1&＃xff09;临时修改安全上下文&＃xff0c;此方式更改的安全上下文在selinux重启后会还原

- chcon -t 标签 文件|目录 - chcon -t public_content_t /var/ftp/westosfile1- chcon -Rt public_content_t /westosdir #修改目录及目录中的所有子文件的安全上下文


&＃xff08;2&＃xff09;永久修改安全上下文&＃xff0c;如果需要特殊指定安全上下文需要修改内核安全上下文列表

- semanage fcontext -l ##查看内核安全上下文列表 - semanage fcontext -a -t public_content_t &＃39;/var/ftp/dir1(/.*)?&＃39; ## -a&＃xff1a;添加 -t&＃xff1a;类型 &＃xff08;/.*&＃xff09;?表示/var/ftp/dir1目录下的所有内容- restorecon -RvvF /var/ftp/dir1 ## 刷新&＃xff0c;保存对永久上下文的更改&＃xff0c;-R&＃xff1a;递归处理目录&＃xff0c; -v&＃xff1a;将过程显示到屏幕上&＃xff0c;-F&＃xff1a;强制恢复文件安全语境- vim /etc/sysconfig/selinux ##将selinux关闭- touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件


&＃xff08;3&＃xff09;临时和永久修改安全上下文的对比修改

• 更改selinux&＃61;disabled&＃xff0c;重启系统后查看/mnt目录下file1和file2的安全上下文均为被改变
• 再次更改selinux&＃61;enforing&＃xff0c;重启系统后查看/mnt目录下file1的安全上下文被还原&＃xff0c;而file2的安全上下文均未被改变

给/var/ftp/pub 上下文添加写的权限:semanage fcontext -a -t public_content_rw_t /var/ftp/pub刷新&＃xff1a;restorecon -R -v /var/ftp/pub 显示ftp服务的bool值&＃xff1a; &＃96;getsebool -a |grep ftp&＃96;实现匿名用户可写&＃xff0c;更改ftpd_anon_write的状态&＃xff1a;&＃96;setsebool -P ftpd_anon_write on&＃96;重启ftp服务&＃xff1a;systemctl restart vsftpd.service


当selinux&＃61;enforing&＃xff0c;更改服务的端口号&＃xff0c;如果更改后的端口号不是该服务允许的端口号&＃xff0c;那么将无法重启服务

• 查看apche服务的端口号&＃xff1a;netstat -antlupe | grep http
• 在配置文件中修改apche的端口号为6666&＃xff1a;vim /etc/httpd/conf/httpd.conf
• 切换selinux的状态为enforing&＃xff1a;setenforce 1
• 重启apche服务&＃xff1a;systemctl restart httpd&＃xff0c;将出现错误无法重启

解决方案

• 默认使用的http端口号&＃xff1a;semanage port -l |grep http
• 为http添加类型为tcp端口号6666&＃xff1a;semanage port -a -t http_cache_port_t -p tcp 6666
• 重启服务&＃xff1a;systemctl restart httpd

• selinux警告信息&＃xff1a;/var/log/audit/audit.log
• selinux警告信息以及解决方案&＃xff1a;/var/log/messages

• setroubleshoot-server&＃xff1a;此软件功能是采集警告信息并分析得到解决方案存放到message中