selinux
getenforce ##檢視selinux狀態
setenforce 0|1
##改變selinux狀態
0 permissive ##警告狀態
1 enforcing ##強制狀態
##當selinux狀態為disable時,會看到乙個?
touch file
ls -z ##檢視安全上下文
此時我們需要開啟selinux
vim /etc/sysconfig/selinux ##進入編輯模式將狀態改為強制模式並重啟機器使其載入selinux安全策略
selinux=****
enforcing ##強制模式
permissive ##警告模式
disabled ##關閉模式
##然後我們再一次檢視剛剛建立的檔案
##臨時修改安全上下文
semanage fcontext -a -t public_content_rw_t '/file(/.*)?'
##永久修改安全上下文
restorecon -rvvf ##重新整理安全上下文,臨時修改重新整理後不生效
restorecon -rvvf ##重新整理後生效
getsebool -a | grep ftp
##檢視布林值
setsebool -p ***(anon_upload_enable) on ##修改布林
在enforcing的條件下匿名使用者ftp上傳檔案:
1.首先要給預設發布目錄下的ftp組和許可權
chgrp ftp /var/ftp/pub/
chmod 775 /var/ftp/pub/
2.檢視並修改布林值
getsebool -a|grep ftp
setsebool -p ftpd_anon_write on
3.將預設發布目錄改為讀寫
chcon -t public_content_rw_t /var/ftp/pub/
當出現錯誤時我們可以通過檢視系統日誌找出問題
如果系統下安裝了setroubleshoot-sercver軟體時系統日誌會報錯並指出解決方案
cat /var/log/message
當沒有安裝時這裡會顯示出錯資訊
cat /var/log/audit/audit.log
SELinux安全防護
實現此案例需要按照如下步驟進行。步驟一 將linux伺服器的selinux設為enforcing強制模式 1 固定配置 修改 etc selinux config檔案 確認或修改selinux為enforcing模式 root svr5 vim etc selinux config selinux ...
selinux 核心級加強型防火牆
3.監控selinux導致的錯誤資訊 舉例 修改檔案標籤從而在apache通過檔案訪問本地目錄 背景 setenforce 1 開啟selinux 步驟 hostname var www html hello.html date f mnt scq.html mv mnt scq.html var ...
selinux 核心防火牆設定
1 sestatus v 檢視selinux狀態 2getenforce 檢視selinux模式 3 setenforce 0 設定selinux為寬容模式 可避免阻止一些操作 4 semanage port l 檢視selinux埠限制規則 在selinux中註冊埠型別 6vi etc selin...