selinux(Security-Enhanced Linux)
####selinux为内核型加强型火墙 ####
#1、针对文件,会对系统中每个文件添加安全上下文(context)
#2、针对进程,会对系统中的每个进程添加安全上下文(context)
#3、会在系统服务上设置sebool开关
#4、当进程的安全上下文与文件安全上下文不匹配时,进程无法访问此文件
#5、sebool会限制服务不安全功能,如果无需此功能,必须调整sebool的值
selinux
touch /mnt/westos ##创建文件
mv /mnt/westos /var/ftp ##移动到公共目录
ls -Z /var/ftp ##查看selinux上下文
ps auxZ |grep vsftpd ##查看包含vsftpd的进程及其selinux上下文
lftp 172.25.254.100 -u student ##测试
vim /etc/sysconfig/seliunx ##修改selinux
disabled --> enforcing ##开启强制模式
touch /mnt/westos1 ##创建文件
mv /mnt/westos1 /var/ftp ##移动文件到发布目录
ls -Z /var/ftp ##查看seliunx上下文
ps auxZ |grep vsftpd ##查看包含vsftpd的进程及其selinux上下文
setenforce 0 ##修改至警告模式(在/var/log/audit/audit.log中生成警告但允许)
permissive ##警告模式
cat /var/log/audit/audit.log ##查看审计日志
chcon -t public_content_t /var/ftpwestos ##修改selinux上下文
mkdir /westos ##创建测试目录
touch /westos/westosfile{1..5} ##创建测试文件
ls -Zd /westos ##查看文件夹属性及seliunx上下文
vim /etc/vsftpd/vsftpd.conf ##编辑配置文件
anon_root=/westos ##设置用户默认访问目录
lftp 172.25.254.100 ##匿名用户登录测试
setenforce 0 ##selinux设置警告模式
chcon -t public_content_t /westos -R ##递归修改目录及内部文件的seliunx上下文
ls -Zd /westos ##查看目录属性及selinux上下文
重启selinunx之后,安全上下文还原
semanage fcontext -l |grep /var/ftp ##查看安全上下文
semanage fcontext -l |grep /westos ##查看安全上下文
semangge fcontext -a -t public_content_t /westos ##修改安全上下文
semanage fcontext -l |grep /westos ##此时仅修改了目录
restorecon -RvvF /westos ##R递归修改vv查看过程F强制
semanage fcontext -d -t public_content_t /westos ##更改
rm -rf /westos ##删除目录
mkdir /westos ##创建测试目录
touch /westos/file{1..5} ##创建测试文件
semanage fcontext -a -t public_content_t /westos(/.*)? ##更改westos目录下所有文件的安全上下文
restorecon -Rvvf /westos ##修改安全上下文
管理selinux的布尔值(相当于selinux策略行为的开关)
getsebool -a | grep ftp ##查看sebool值
ftp_home_dir --> on
setsebool -P ftp_home_dir on ##永久更改seliunx策略
本地用户可写可删除
selinux排错
setroubleshot-server插件会监听/var/log/audit/audit.log中审核信息发送至/var/log/messages
sealert -a /var/log/audit/audit.log ##将生成audit.log文件中所有的冲突报告