1. selinux
内核级加强型防火墙>针对文件,会对系统中每个文件添加安全上下文(context)
>针对进程,会对系统中的每个进程添加安全上下文(context)
>会在系统的服务上设定sebool开关
>当进程的安全上下文和文件的安全上下文不匹配时,那么进程无法访问该文件
>sebool会限制服务的不安全功能,如果需要此功能,必须调整sebool值
2. 管理selinux
1)selinux的开关
>vim /etc/sysconfig/selinux
SELINUX=enforcing ##selinux开启,并且级别为强制(警告+拒绝)
SELINUX=permissive ##selinux开启,级别为警告(允许加警告)
SELINUX=disabled ##selinux关闭
setenforce 0|1 ##更改selinux当前的级别0警告1强制
getenforce ##查看selinux的状态
注意:当selinux从开到关,或者从关到开,需要重启系统
2)selinux中对于文件安全上下文的设定
#临时更改适用于更改文件
chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/file1
#永久更改
semanage fcontext -l ##查看系统文件的安全上下文
semanage fcontext -a -t public_content_t '/westos(/.*)?'
-a 添加 -t 类型
restorecon -RvvF /westos/
3)selinux的bool值的设定
getsebool -a | grep 服务名称
setsebool -P bool值 on|off/1|0
实操:
4)selinux日志的显示
/var/log/audit/audit.log ##原本显示目录(只显示报错)/var/log/messages ##通过某个服务后可显示的目录(显示报错以及解决方式)
其中显示的解决方法:
setsebool -P ftpd_full_access 1
restorecon -v '$FIX_TARGET_PATH'
(仅提供参考不具有安全性)
中间转换服务名:
rpm -qa | grep setroubleshoot
yum remove setroubleshoot-server-3.2.17-2.el7.x86_64
yum install setroubleshoot-server -y