LINUX中核心級加強型火牆的管理

2021-10-11 03:52:49 字數 3207 閱讀 7069

一.selinux的功能                

1.觀察現象

當selinux未開啟時

在/mnt中建立檔案被移動到/var/ftp下可以被vsftpd服務訪問

匿名使用者可以通過設定後上傳檔案

當使用ls -z /var/ftp檢視檔案時顯示"?"

ps auxz  | grep vsftpd 時顯示:

-    root  8546  0.0  0.0  26952   408 ?  ss 10:35  0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

當selinux開啟:

在/mnt中建立檔案被移動到/var/ftp下不可以被vsftpd服務訪問

匿名使用者可以通過設定後仍然不能上傳檔案

當使用ls -z /var/ftp檢視檔案時顯示資訊

ps auxz  | grep vsftpd 時顯示:

system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0  0.0 26952   412 ?        ss   10:50   0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux:

對於檔案的影響:

當selinux開啟時,核心會對每個檔案及每個開啟的程式進行標籤載入

標籤內記錄程式和檔案的安全上下文(context)

對於程式功能的影響:

當selinux開啟會對程式的功能載入開關,並設定此開關的狀態為關閉

當需要此功能時需要手動開啟功能開關

此開關叫做sebool

二.selinux的狀態及管理           

1.selinux的開啟

vim /etc/selinux/config

7 selinux=disabled  selinux關閉

7 selinux=enforcing selinux開機設定為強制狀態此狀態為selinux開啟

7 selinux=permissive    selinux開機設定為警告狀態此狀態為selinux開啟

"selinux開啟或關閉需要重啟系統"

不符合條件一定不能被允許,並會收到警告資訊

permissive:

不符合條件被允許,並會收到警告資訊

selinux狀態的檢視:

getenforce

selinux開啟後強制和警告級別的轉換

setenforce 0      警告

setenforce 1      強制

selinux日誌位置:

三.selinux的安全上下文           

1.檢視

ls -z         檢視檔案的安全上下文

ls -zd        檢視目錄的安全上下文

ps auxz       檢視程序的安全上下文

2.修改安全上下文

臨時修改

此方式更改的安全上下文在selinux重啟後會還原

chcon -t    標籤            檔案|目錄  

chcon -t    public_content_t    /var/ftp/westosfile1

chcon -rt   public_content_t    /westosdir  修改目錄及目錄中的所有子檔案的安全上下文

永久修改安全上下文

如果需要特殊指定安全上下文需要修改核心安全上下文列表

semanage fcontext -l          檢視核心安全上下文列表

semanage fcontext -a -t public_content_t  '/westosdir(/.*)?'

restorecon -rvvf /westosdir/

touch  /.autorelabel         重啟系統時selinux初始化檔案標籤開關檔案

四.sebool                        

getsebool  -a                 現實服務的bool值

setsebool  -p ftpd_anon_write on    更改

五.seport                        

semanage port -l | grep ssh

semanage port -a -t ssh_port_t -p tcp  1111

六.setrouble                    

/var/log/audit/audit.log     selinux警告資訊

/var/log/messages       selinux問題解決方案

setroubleshoot-server       此軟體功能是採集警告資訊並分析得到解決方案存放到message中

Linux 核心級加強型火牆

檢視 getenforce 開啟後給每個檔案和程式新增標籤 安全上下文 匹配則可以訪問 檔案是功能標籤 程式是加了波爾開關 修改狀態檔案 狀態 enforcing 強制 拒絕訪問,有警告資訊 permissive 警告 可以訪問,有警告資訊 disabled 關閉 切換 setenforce 0 切...

linux中核心級加強型火牆管理

安全上下文的作用 特定安全上下文的程式只能訪問特定安全上下文的檔案,否則訪問失敗,會被selinux拒絕 selinux的狀態及管理 開啟vim etc selinux config selinux disabled selinux關閉 selinux enforcing selinux開機設定為強...

SELinux 核心級加強型火牆

selinux security enhanced linux 是美國 局 nsa 對於強制訪問控制的實現,是 linux歷史上最傑出的新安全子系統。nsa是在linux社群的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下,程序只能訪問那些在他的任務中所需要檔案。selinux特點 1.m...