#selinux
对文件的影响:
当selinux开启时,内核会对每个文件及每个开启的程序进行标签加载,标签内记录程序和文件的安全上下文(context)
对程序功能的影响:
当selinux开启会对程序的功能加载开关,并设定此开关的状态为关闭,当需要此功能时需要手动开启功能开关,此开关叫做sebool
#selinux的基本设置操作
vim /etc/selinux/config配置文件
selinux的三种状态:disabled为selinux关闭;enforcing为selinux开机设定为强制状态且此状态为selinux开启;permissive为selinux开机设定为警告状态且此状态为selinux开启
注:selinux开启或关闭需要重启系统才能生效reboot
enforcing不符合条件一定不能被允许,并收到警告信息
permissive不符合条件会被允许,并收到警告信息
getenforce可以查看selinux的状态
selinux开启后强制与警告级别的转换:setenforce 0为警告状态,setenforce 1为强制状态。
ls -Z /var/ftp/ 查看文件的安全上下文
ps axZ | grep ftp 查看进程的安全上下文
getsebool -a | grep ftp
semanage port -l | grep ssh查看端口号
#文件安全上下文管理
chcon -t 标签 文件 | 目录 (-Rt表示修改目录及目录中所有子文件的安全上下文)
chcon -Rt public_content_t /var/ftp/westos/
ls -RZ /var/ftp/
以上方式为临时修改,selinux在重启后会失效
永久修改
semanage fcontext -a -t public_content_t ‘/var/ftp/westos(/.*)?’
semanage fcontext -l | grep westos #semanage fcontext -l 查看内核安全上下文列表
restorecon -RvvF /var/ftp/westos/
touch /.autorelabel #重启系统时selinux初始化文件标签开关文件
#服务sebool值的管理
#端口
当修改服务端口被selinux阻止时,可以添加所需端口
#selinux排错
/var/log/audit/audit.log中存放selinux警告信息
/var/log/messages 中存放selinux问题解决方案
当没有解决方案时可以安装setroubleshoot-server ,此软件功能是采集警告信息并分析得到解决方案然后存放到message中。