SELinux的管理

1.基本 SELinux 安全性概念

• SELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制
• 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 ,并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 ；SELINUX 的另一个不同之处在于 , 若要访问文件 , 你必须具有普通访问权限和 SELINUX 访问权限。因此 , 即使以超级用户身份 root 运行进程 , 根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 )

2.SELinux功能

• 关闭状态时

在/mnt/中建立文件文件安全上下文为空文件被移动到ftp默认发布目录中可以被访ftp程序安全上下文为空
用户可以上传文件

• 开启状态时

当selinux开启会给系统中的每一个文件及每一个程序加载安全上下文
特定安全上下文的程序只能访问特定安全上下文 的文件
当selinux开启会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态以保
证服务安全性
当需要此功能时需要超级用户手动调节

3.SELinux状态

• 显示及更改 SELinux 模式

• getenforce
• setenforce 0|1
– 0 表示 permissive # 警告
– 1 表示 enforcing # 强制

• 更改 SELinux 的开机状态

vim /etc/sysconfig/selinux
disable表示关闭，enforcing表示强制，permissive表示警告，disable状态切换到permissive状态或enforcing状态时需要重启【reboot】

4.显示 SELinux 文件上下文

• 什么确定文件的初始 SELinux 上下文 ? 通常是父目录。将父目录的上下文指定给新创建的文件。这对 vimcp 和 touch 等命令其作用 , 但是 , 如果文件是在其他位置创建的并且保留了权限 ( 与 mv 或 cp -a 一样 ) 则还将保留 SELinux 上下文
• 许多处理文件的命令具有一个用于显示或设置 SELinux 上下文的选项 ( 通常是 -Z ) 。例如 , ps 、 ls 、 cp 和 mkdir 都使用 -Z 选项显示或设置 SELinux 上下文
• 显示上下文
  – ps axZ
  – ps -ZC
  – ls -Z

• 安全上下文的临时更改

chcon -t 安全上下文 文件
chcon -R -t 安全上下文 目录

更改文件的安全上下文

更改目录的安全上下文

• 永久更改目录或文件的安全上下文
  1.mkdir /ftpuserdir/pinyoudir
  2.设定westos用户登陆ftp服务时默认家目录为/ftpuserdir
  3.当用westos用户登陆ftp时/ftpuserdir中的内容无法访问，因为selinux安全上下文不匹配
  4.semanager fcontent -l | grep /ftpuserdir ##内核安全上下文列表中无信息
  查看/ftpuserdir安全上下文
  
  5.永久更改安全上下文

semanager fcontent -a -t public_content_t /ftpuserdir'(/.*)?'
##(/.*)? 表示目录中将要出现的内容
##此命令
只添加列表信息，当前不生效
restorecon -RvvF /ftpuserdir/ ##刷新文件安全上下文

5.sebool

SEBOOL:
selinux 对服务功能能添加的开关

• getsebool -a | grep ftp ##查看ftp的功能开关
  
• setsebool -P ftpd_anon_write=1|on ##表示开启此匿名用户写的功能【P—表示永久】
  

6.setrouble

dnf install setroubleshoot-server-3.3.19-1.el8.x86_64 -y【系统基本有】
sealert -a /var/log/audit/audit.log ##分析日志并提供解决方案

1.一般情况下，日志会有记录

2.分析日志会有解决方案
okok