云野云野 Past-运维 运维

Linux中内核级加强型火墙的管理

 
.Selinux对系统的影响 
1.观察现象
当Selinux未开启时 在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问
匿名用户可以通过设置后上传文件
当使用ls-Z/var/ftp查看文件时显示”?” ps auxZ|grep vsftpd时显示:
-root85460.00.026952408?
Ss10:350:00/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf
当selinux开启:
在/mnt中建立文件被移动到/var/ftp下不可以被vsftpd服务访问
匿名用户可以通过设置后仍然不能上传文件
当使用ls-Z/var/ftp查看文件时显示信息
ps auxZ|grep vsftpd时显示:
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root6577 0.00.0 26952412?
Ss10:5
00:00/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf

 

selinux
对于文件的影响selinux开启时内核会对每个文件及每个开启的程序进行标签加载 标签内记录程序和文件的安全上下文context
对于程序功能的影响selinux开启会对程序的功能加载开关并设定此开关的状态为关闭
当需要此功能时需要手动开启功能开关 , 此开关叫做sebool
.Selinux的状态及管理
1.selinux的开启 

vim/etc/selinux/config
vim /etc/sysconfig/selinux
7 SELINUX=disabled          #selinux关闭 
7 SELINUX=enforcing         #selinux开机设定为强制状态此状态为selinux开启 
7 SELINUX=permissive     #selinux开机设定为警告状态此状态为selinux开启 

注意 :"selinux开启或关闭需要重启系统"
enforcing:  不符合条件一定不能被允许,并会收到警告信息
permissive:不符合条件被允许,并会收到警告信息
selinux状态的查看: getenforce
selinux    开启后强制和警告级别的转换
setenforce 0       ##警告
setenforce 1       ##强制
selinux日志位置:
/var/log/audit/audit.log
三.Selinux的安全上下文管理
1.查看
ls -Z            ##查看文件的安全上下文
ls -Zd          ##查看目录的安全上下文
ps axZ        ## 查看进程的安全上下文

 

2.修改安全上下文
临时修改 此方式更改的安全上下文在selinux重启后会还原
chcon -t  标签   文件|目录
chcon -t public_content_t /var/ftp/file1
chcon -Rt public_content_t   /westos         ##修改目录及目录中的所有子文件的安全上下文
永久修改安全上下文
如果需要特殊指定安全上下文需要修改内核安全上下文列表
semanage fcontext-l              ##查看内核安全上下文列表
semanage fcontext-a-t public_content_t’/westos(/.*)?’
restorecon-RvvF/westos/
.服务SEBOOL值的管理 
getsebool  -a        ##现实服务的bool值
setsebool  -P ftpd_anon_write on       ##更改永久生效

 五.SEPORT  selinux对于端口的限制
semanage port -l | grep ssh
semanage port -a -t ssh_port_t-p tcp 2222
.setrouble  selinux排错工具 
cat /var/log/audit/audit.log        ##selinux警告信息
cat /var/log/messages                  ##selinux问题解决方案
setroubleshoot-server                   ##此软件功能是采集警告信息并分析得到解决方案存放到message 中但是只考虑解决方案不考虑安全性
semanage port -d-t ssh_port_t-p tcp 1111
> /var/log/audit/audit.log
>/var/log/messages
systemctl restart sshd
在/etc/ssh/sshd_config添加1111端口,重启失败

cat /var/log/audit/audit.log      查看/var/log/audit/audit.log下的selinux警告信息

cat /var/log/messages      查看/var/log/messages下的selinux问题解决方案

重启成功

这个排错工具不是系统自带的,是下载的插件,它只考虑解决的方案不考虑安全性

 


云野 » Linux中内核级加强型火墙的管理
云野

云野 普通

分享到:

相关推荐

发表回复