欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

基于Linux的selinux的初级管理

程序员文章站 2022-04-26 15:37:57
...

一、Selinux三个模式

Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELinux 策略规则授予或拒绝主体对目标的访问
Permissive 宽容(警告模式)— SELinux 策略不强制执行,不实际拒绝访问,但会有拒绝信息写入日志
Disabled 禁用(关闭模式)— 完全禁用SELinux

1、临时修改
首先使用getenforce 查看当前的selinux的状态
setenforce 0|1 ##更改selinux运行级别,(0表示Permissive,1表示Enforcing )。临时修改无法禁用selinux
基于Linux的selinux的初级管理
2、永久修改
vim /etc/sysconfig/selinux
selinux=disabled ##关闭状态
selinux=Enforcing ##强制状态
selinux=Permissive ##警告状态
但是这种修改形式,需要重启虚拟机才能生效
基于Linux的selinux的初级管理

二、更改文件安全上下文

在/mnt下建立文件,并将date写入。再将其移动至/var/www/html下
基于Linux的selinux的初级管理
利用网页访问/var/www/html下文件,在正常情况下是可以直接访问http:localhost/XXX.html。
利用这种方式访问,从/mnt中移动至/var/www/html文件
基于Linux的selinux的初级管理
此时访问被禁止,是因为从/mnt中转移的文件并没有seliux相应的权限。
此时我们有两种方式解决该问题
方法一
将selinux调至Permissive 模式
基于Linux的selinux的初级管理
方法二
修改该文件的标签,查看/var/www/html文件夹自身的文件的标签,并以此来修改原/mnt下的文件的标签
基于Linux的selinux的初级管理
chcon -t 安全上下文 文件
基于Linux的selinux的初级管理
基于Linux的selinux的初级管理
该方式仅为临时修改。我们可以永久修改其标签
semanage fcontext -l ##列出内核安全上下文列表内容
利用grep仅抓取与www相关的内容
基于Linux的selinux的初级管理
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?’
restorecon -FvvR /publicftp/ 永久修改标签,并显示过程
基于Linux的selinux的初级管理
实现对文件的标签修改后,我们尝试修改文件夹标签。
基于Linux的selinux的初级管理
基于Linux的selinux的初级管理
在根目录下建立,再以匿名用户访问。虽然访问成功,但是不能看到该目录下的文件,说明该目录的标签不符合seliux的权限
查看正确标签,并以此修改目标根目录
基于Linux的selinux的初级管理
该目录下存在文件,因此,在修改标签时需加-R(递归)。
基于Linux的selinux的初级管理
在完成标签修改后,再次访问localhost
基于Linux的selinux的初级管理
此时便能正常访问