3_二Linux中内核级加强型火墙的管理

一.Selinux的功能

1.观察现象
当Selinux未开启时
在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls -Z /var/ftp查看文件时显示"?"

ps auxZ | grep vsftpd 时显示:
- root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

当selinux开启:

在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls -Z /var/ftp查看文件时显示信息
ps auxZ | grep vsftpd 时显示:
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 0.0 26952

selinux:

对于文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载
标签内记录程序和文件的安全上下文(context)

对于程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关
此开关叫做sebool

二.Selinux的状态及管理

1.selinux的开启
vim /etc/selinux/config
7 SELINUX=disabled		#selinux关闭
7 SELINUX=enforcing		#selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive	#selinux开机设定为警告状态此状态为selinux开启

"selinux开启或关闭需要重启系统"

enforcing:
不符合条件一定不能被允许,并会收到警告信息

permissive:
不符合条件被允许,并会收到警告信息

selinux状态的查看:
getenforce

selinux开启后强制和警告级别的转换
setenforce 0		##警告
setenforce 1		##强制

selinux日志位置:
/var/log/audit/audit.log

三.Selinux的安全上下文

1.查看

ls -Z		##查看文件的安全上下文
ls -Zd		##查看目录的安全上下文
ps axZ	##查看进程的安全上下文

2.修改安全上下文
#临时修改

#此方式更改的安全上下文在selinux重启后会还原
chcon -t	标签							文件|目录
chcon -t	public_content_t			/var/ftp/westosfile1
chcon -Rt	public_content_t			/westosdir	#修改目录及目录中的所有子文件的安全上下文

#永久修改安全上下文

#如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l		##查看内核安全上下文列表
semanage fcontext -a -t public_content_t '/westosdir(/.*)?'
restorecon -RvvF /westosdir/
touch /.autorelabel			##重启系统时selinux初始化文件标签开关文件

四.SEBOOL

getsebool -a											##现实服务的bool值
setsebool -P ftpd_anon_write on		#更改

五.SEPORT

semanage port -l | grep ssh
semanage port -a -t ssh_port_t -p tcp 1111

六.setrouble

/var/log/audit/audit.log								##selinux警告信息
/var/log/messages										##selinux问题解决方案
setroubleshoot-server									##此软件功能是采集警告信息并分析得到解决方案存放到message中
semanage port -d -t ssh_port_t -p tcp 1111
> /var/log/audit/audit.log
>/var/log/messages

systemctl restart sshd
systemctl stop sshd

练习

[[email protected]_westosftp ~]# ls -Z /var/ftp/
       unconfined_u:object_r:mnt_t:s0 ooooo
system_u:object_r:public_content_t:s0 pub
[[email protected]_westosftp ~]# chcon -t public_content_t /var/ftp/ooooo #chcon 改安全上下文   -t  指定类型
[[email protected]_westosftp ~]# ls -Z /var/ftp/	#-Z 查看安全上下文  -d 目录
unconfined_u:object_r:public_content_t:s0 ooooo
    system_u:object_r:public_content_t:s0 pub


			vim /etc/ssh/sshd_config	#改写端口
			systemctl restart sshd		#会报错  在setenforce 1
			setenforce 0			#不会报错  且可以执行
semanage port -l | grep ssh				#默认端口是22
ssh_port_t                     tcp      22

 semanage port -a -t ssh_port_t -p tcp 2222		#添加端口
[[email protected]_westosftp ~]# semanage port -l | grep ssh
ssh_port_t                     tcp      2222, 22	

		setenforce 1		#在2222情况下也可以重新启动2222

semanage port -d -t ssh_port_t -p tcp 2222		#-d  删除