安全上下文的作用:特定安全上下文的程式只能訪問特定安全上下文的檔案,否則訪問失敗,會被selinux拒絕
##selinux的狀態及管理
開啟vim /etc/selinux/config
selinux=disabled #selinux關閉
selinux=enforcing #selinux開機設定為強制狀態此狀態為selinux開啟
selinux=permissive #selinux開機設定為警告狀態此狀態為selinux開啟
selinux開啟或關閉 需要重啟系統
enforcing #不符合條件一定不被允許,並會收到警告資訊
permissive #不符合條件 也被允許 會收到警告資訊
selinux 的安全上下文
ls -z 檔案 #檢視檔案的安全上下文
ls -zd 目錄 #檢視目錄的安全上下文
ps axz 程序 #檢視程序的安全上下文
#修改安全上下文
臨時修改
此方式更改的安全上下文在selinux重啟後會還原
chcon -t 標籤 檔案|目錄
chcon -t public_content_t /vat/ftp/westosfile1
chcon -rt public_content_t /westosdir #修改目錄及目錄中所有子檔案的安全上下文
###永久修改安全上下文
如果需要特殊指定安全上下文需要修改核心安全上下文列表
semanage fcontext -l #檢視核心安全上下文列表
semanage fcontext -a -t public_content_t 『/westosdir(/.*)?』
restorecon -rvvf /westosdir/
touch /.autorelabel #重啟系統時selinux初始化檔案標籤開關檔案
##sebool
getsebool -a #顯示服務的bool值
setsebool -p ftpd_anon_write on
semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp 1111
Linux 核心級加強型火牆
檢視 getenforce 開啟後給每個檔案和程式新增標籤 安全上下文 匹配則可以訪問 檔案是功能標籤 程式是加了波爾開關 修改狀態檔案 狀態 enforcing 強制 拒絕訪問,有警告資訊 permissive 警告 可以訪問,有警告資訊 disabled 關閉 切換 setenforce 0 切...
SELinux 核心級加強型火牆
selinux security enhanced linux 是美國 局 nsa 對於強制訪問控制的實現,是 linux歷史上最傑出的新安全子系統。nsa是在linux社群的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下,程序只能訪問那些在他的任務中所需要檔案。selinux特點 1.m...
LINUX中核心級加強型火牆的管理
一.selinux的功能 1.觀察現象 當selinux未開啟時 在 mnt中建立檔案被移動到 var ftp下可以被vsftpd服務訪問 可以通過設定後上傳檔案 當使用ls z var ftp檢視檔案時顯示 ps auxz grep vsftpd 時顯示 root 8546 0.0 0.0 269...