selinux :内核级增强型防火墙
安全增强Linux (Linux )是保护系统安全的附加机制。seliunx开关
更改selinux状态配置文件vim /etc/sysconfig/selinux的三个级别,以确保SELINUX=enforcing ##强制级别SELINUX=permissive ##警告级别selinux 关闭当前0级更改警告1强制获取性能# #显示当前selinux状态注意事项: enforcing和premissive可以在不重新启动系统时在enforcing和disabled之间切换。selinux在开启和关闭情况下对安全上下文的影响
selinux打开时:
创建文件并将该文件移动到/lqdxrk/ftp/pub。 由于selinux已打开,无法访问您创建的文件
创建文件并将该文件移动到/lqdxrk/ftp/pub。 selinux已关闭,因此您创建的文件可以访问
Selinux中对文件安全上下文的设定
ls -Zd /dir##表示对指定目录安全上下文的临时更改。 chcon -t安全上下文文件chcon-t public_content_t/westOS/- r # #将west OS安全上下文更改为public _ content _ t 安全上下文文件目录semanagefcontext-a-t public _ content _ t '/west OS (将# west OS目录下的文件安全上下文转换为public _ ) 目录中的westOS安全上下文在更新restorecon -RvvF /westos/##之前已移动
更改文件的安全上下文后,可以访问移动的文件
强制等级设定文件
将/westos设置为匿名用户根目录以禁止访问文件
把目录和他下面的文件标签换成设定标签就可以看到了
管理Selinux布尔值bool
sebool值是用于显示指定服务的布尔值getsebool -a | grep服务名getsebool-a|grepftp##FTP服务的布尔值setsebool,该服务是控制服务功能的交换机
打开行权限状态匿名用户上传功能
将编辑配置文件的内容设置为所有组的pub目录权限,以允许匿名用户在强制级别上传文件
Selinux的排错
软件yuminstallsetroubleshoot-server-y # #安装此软件时,将显示解决方案cat /lqdxrk/log/messages##日志(日志有解决方案) audit.log##清空日志文件内容/lqdxrk/log/messages##查看清空日志文件内容的lftpip##pub目录下的文件也是filecat/lqdxrk/log restorecon-v/lqdxrk/FTP/pub/file注意:要将SELinux消息发送到//,必须安装setroubleshoot-server软件包