selinux初級(jí)管理

1.什么時(shí)Selinux
Selinux，內(nèi)核級(jí)加強(qiáng)型防火墻
SElinux是強(qiáng)制訪問(wèn)控制(MAC)安全系統(tǒng)，是linux歷史上最杰出的新安全系統(tǒng)。對(duì)于linux安全模塊來(lái)說(shuō)，SElinux的功能是最全面的，測(cè)試也是最充分的，這是一種基于內(nèi)核的安全系統(tǒng)。

Selinux三個(gè)模式
Enforcing 強(qiáng)制(強(qiáng)制模式)— SELinux 策略強(qiáng)制執(zhí)行，基于 SELinux 策略規(guī)則授予或拒絕主體對(duì)目標(biāo)的訪問(wèn)
Permissive 寬容(警告模式)— SELinux 策略不強(qiáng)制執(zhí)行，不實(shí)際拒絕訪問(wèn)，但會(huì)有拒絕信息寫入日志
Disabled 禁用(關(guān)閉模式)— 完全禁用SELinux

2.如何管理selinux級(jí)別
selinux開啟或者關(guān)閉
在配置文件"/etc/sysconfig/selinux"下將"SELINUX=enforcing"改為"SELINUX=disabled"，因?yàn)镾Elinux是基于內(nèi)核的安全系統(tǒng)，所以在設(shè)置完成之后需要重啟內(nèi)核，即需要重啟電腦才可以生效。
vim /etc/sysconfig/selinux
selinux=disabled ##關(guān)閉狀態(tài)
selinux=Enforcing ##強(qiáng)制狀態(tài)
selinux=Permissive ##警告狀態(tài)

selinux開啟或者關(guān)閉
getenforce ##查看狀態(tài)
當(dāng)selinux開啟時(shí), "setenforce"可以設(shè)置SElinux的狀態(tài)，但是只能設(shè)置0和1兩種，即警告模式或者強(qiáng)制模式。
setenforce 0|1 ##更改selinux運(yùn)行級(jí)別,

3.如何更改文件安全上下文

查看安全上下文): SElinux會(huì)在目錄和文件上留下上下文標(biāo)識(shí)
ls -Z
臨時(shí)更改）
chcon -t 安全上下文 文件
chcon -t public_content_t /publicftp -R

永久更改）
semanage fcontext -l ##列出內(nèi)核安全上下文列表內(nèi)容
semanage fcontext -a -t public_content_t '/publicftp(/.*)?'
restorecon -FvvR /publicftp/

4.如何控制selinux對(duì)服務(wù)功能的開關(guān)
getsebool -a | grep 服務(wù)名稱
getsebool -a | grep ftp
setsebool -P 功能bool值 on|off
setsebool -P ftpd_anon_write on

SElinux對(duì)服務(wù)的影響

    SElinux是最全面的安全系統(tǒng)，所以會(huì)對(duì)文件和服務(wù)有一定的限制，以下服務(wù)以ftp為例。

    SElinux會(huì)在文件上做出上下文標(biāo)識(shí)，例如下圖所示，在"/mnt"和"/var/ftp/pub"下分別建立文件"file"，輸入"ls -Z"可以查看文件標(biāo)識(shí)?？梢钥闯?，"/mnt/file"為"mnt_t"，而"/var/ftp/pub/file"標(biāo)識(shí)為"public_content_t"，這樣會(huì)導(dǎo)致將"/mnt/file"移入"/var/ftp/pub"目錄下，連接lftp無(wú)法看到這個(gè)文件。

SElinux為了系統(tǒng)的安全，會(huì)禁止服務(wù)一些危險(xiǎn)功能的使用，可以輸入"getsebool -a | grep ftp"來(lái)查看禁止了ftp服務(wù)的哪些功能，如下圖所示，輸入"setsebool -P 功能 on|off"可以控制這些功能的開關(guān)。

5.監(jiān)控selinux的錯(cuò)誤信息
setroubleshoot-server

項(xiàng)目案例一: httpd服務(wù)共享文件安全上下文的管理
** selinux開啟的情況下做實(shí)驗(yàn)
yum install httpd -y
systemctl start httpd
systemctl enable httpd
systemctl stop firewalld
systemctl disable firewalld
hostname > /var/www/html/hello.html
date +%F > /mnt/westos.html
mv /mnt/westos.html /var/www/html/

現(xiàn)象一: 用戶通過(guò)瀏覽器可以訪問(wèn)hello.html文件， 但不能訪問(wèn)westos.html文件。如何解決呢?因?yàn)槲募陌踩舷挛牟煌瑢?dǎo)致的.
ls -Z /var/www/html/
chcon -t httpd_sys_content_t /var/www/html/westos.html # 臨時(shí)修改安全上下文， 重啟后失效
semanage fcontext -l # 查看系統(tǒng)默認(rèn)的安全上下文信息
semanage fcontext -a -t httpd_sys_content_t /var/www/html/westos.html # 永久修改文件的安全上下文到系統(tǒng)中
restorecon -FvvR /var/www/html/ # 刷新目錄， 重新讀取安全上下文

項(xiàng)目案例二: vsftpd服務(wù)共享文件安全上下文的管理

項(xiàng)目案例三: vsftpd服務(wù)上傳文件的管理（selinux開啟的情況）

1. vim /etc/vsftpd/vsftpd.conf
   anon_upload_enable=YES

   2. 開啟selinux對(duì)服務(wù)功能的開關(guān)
      setsebool -P ftpd_anon_write on
      setsebool -P ftpd_full_access on

   3. 重啟服務(wù)
      systemctl restart vsftpd

項(xiàng)目案例四: Selinux如何管理/錯(cuò)誤信息處理
1). Selinux的警告日志信息文件: /var/log/audit/audit.log
Selinux的警告日志信分析之后給出的解決方案存儲(chǔ)的位置: /var/log/messages

2). 實(shí)現(xiàn)selinux警告分析并給出解決方案的軟件名: rpm -qa | grep setroubleshoot-server

3). 測(cè)試步驟
1 > /var/log/messages
2 > /var/log/audit/audit.log
3 ifconfig | less
4 setsebool -a | grep ftp
5 getsebool -a | grep ftp
6 less /var/log/audit/audit.log 查看日志文件
7 rpm -qa | grep setroubleshoot-server
8 less /var/log/messages
9 yum install httpd -y
10 systemctl start httpd
11 systemctl enable httpd
12 rpm -qc httpd
13 vim /etc/httpd/conf/httpd.conf@@
br/>@@
@@

14 systemctl restart httpd
15 less /var/log/messages
16 semanage port -a -t http_port_t -p tcp 6666
17 semanage port -l | grep http
18 systemctl restart httpd