檢視:getenforce
開啟後給每個檔案和程式新增標籤——安全上下文
匹配則可以訪問
檔案是功能標籤
程式是加了波爾開關
修改狀態檔案
狀態:enforcing 強制:拒絕訪問,有警告資訊
permissive 警告:可以訪問,有警告資訊
disabled 關閉:
切換:setenforce 0 切換到警告狀態 (開啟模式下)
setenforce 1 切換到強制狀態
1、對檔案的影響
臨時更改上下文
改為關閉狀態重起
在改為強制狀態重起
重起後臨時更改失效
對檔案的影響
永久更改上下文
檢視:[root@localhost ~]# ls -zb /var/ftp/
更改:[root@localhost ~]# semanage fcontext -l | grep /var/ftp/
測試[root@localhost ~]# ls -zb /ftthome/
對程式的影響
確保警告模式下匿名使用者能上傳
-p 永久開啟
[root@localhost ~]# setsebool -p ftpd_anon_write on
[root@localhost ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> on
日誌管理
檢視安裝包
[root@localhost pub]# rpm -qa | grep setroubleshoot
setroubleshoot-3.2.17-2.el7.x86_64
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-server-3.2.17-2.el7.x86_64
安裝[root@localhost pub]# yum install trouble -y
[root@localhost pub]# yum install setroubleshoot.x86_64 -y
安裝後[root@localhost pub]# cat /var/log/messages
nov 3 22:20:01 localhost systemd: starting session 42 of user root.
nov 3 22:20:01 localhost systemd: started session 42 of user root.
日誌存放在
[root@localhost pub]# cat /var/log/audit/audit.log 提供報錯
[root@localhost pub]# cat /var/log/messages 提供報錯原因
SELinux 核心級加強型火牆
selinux security enhanced linux 是美國 局 nsa 對於強制訪問控制的實現,是 linux歷史上最傑出的新安全子系統。nsa是在linux社群的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下,程序只能訪問那些在他的任務中所需要檔案。selinux特點 1.m...
linux中核心級加強型火牆管理
安全上下文的作用 特定安全上下文的程式只能訪問特定安全上下文的檔案,否則訪問失敗,會被selinux拒絕 selinux的狀態及管理 開啟vim etc selinux config selinux disabled selinux關閉 selinux enforcing selinux開機設定為強...
LINUX中核心級加強型火牆的管理
一.selinux的功能 1.觀察現象 當selinux未開啟時 在 mnt中建立檔案被移動到 var ftp下可以被vsftpd服務訪問 可以通過設定後上傳檔案 當使用ls z var ftp檢視檔案時顯示 ps auxz grep vsftpd 時顯示 root 8546 0.0 0.0 269...