第三本书第二章Linux中内核级加强型火墙管理（Selinux）

第三本书第二章Linux中内核级加强型火墙管理（Selinux）

1.实验前准备

1. rm -fr /etc/vsftpd/

2. dnf reinstall vsftpd -y

3. systemctl restart vsftpd

 vim /etc/vsftpd/vsftpd.conf
12行改为yes  29取消注释
systemctl  restart vsftpd

1.Selinux的状态及管理

vim /etc/selinux/config

SELINUX=enforcing 
##selinux开机设定为强制状态，此状态为selinux开启
SELINUX=permissive
##selinux开机设定为警告状态，此状态为selinux开启
SELINUX=disabled  
##selinux关闭
注：selinux打开后，从enforcing改为permisive不需要重启，在直接执行命令

setenforce 0 警告
setenforce 1 强制
日志位置：/var/log/audit/audit.log

1.关闭时  ：将test复制到ftp下，不影响访问

 

 

2.enforcing :警告且禁止

配置文件修改selinux状态后重启

  

 touch /mnt/test  
    mv  /mnt/test  /var/ftp/  移动，不要复制
  lftp 172.25.254.112       ls查看四否能看见test

 

  3.permissive :警告但不禁止，日志有相应警告

 

3.selinux的安全上下文查看

ls -Z ##查看文件的安全上下文
ls -Zd ##查看目录的安全上下文
ps axz ##查看进程的安全上下文

1.临时修改：selinux服务重启后失效

chcon -t public_content_t /var/ftp/test
chcon -Rt mnt_t /var/ftp/westos  R是递归   没有R只有目录修改

 

 2.永久修改

如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext -l 
查看内核安全上下文列表

semanage fcontext -a -t public_content_t   '/westosdir1(/.*)?'
没有括没有递归
 restorecon -RvvF /var/ftp/westos/

 4.sebool

接上面实验,现象：用户无法上传

 

 解决办法：

chmod 775 /var/ftp/pub 不改权限没法上传
getsebool -a 查看现实服务的bool值

 
setsebool -P ftpd_anon_write on  修改bool数值
semanage fcontext -a -t public_content_rw_t '/var/ftp/pub(/.*)?'
 restorecon -RvvF /var/ftp/pub/
给pub写权限，刷新

结果测试：可以上传

 

5.setrouble
排错信息位置 /var/log/messages

touch /mnt/cuiyingying
   mv /mnt/cuiyingying /var/ftp/
  lftp 172.25.254.112
  getenforce 
  setenforce  1
 lftp 172.25.254.112

 

制造问题：看不到cuiyingying

  >/var/log/messages   排空原有信息

5.seport

1.配置文件的位置

vim /etc/ssh/sshd_config

 

 2.修改端口方式之配置文件方式：不成功

 

 

 2.命令

1. semanage port -a -t ssh_port_t 1111 -p tcp

2. 在火墙开启的模式下

3. 更改sshd端口为1111，并同步到tcp中

4. semanage port -l | grep ssh

5. 查看sshd服务端口号