Linux中内核级加强型防火墙的管理

selinux开启

• 对于文件的影响：
  当selinux开启时，内核会对每个文件及每个开启的程序进行标签加载
  标签内记录程序和文件的安全上下文（context） ”ls -Z 文件名 “可以查看该文件的安全上下文
  <>

• 对于程序功能的影响：
  当selinux开启会对程序的功能加载开关，并设定此开关的状态为关闭
  当需要此功能时需要手动开启功能开关
  此开关叫做sebool

Selinux的状态及管理

• selinux的开启
  vim /etc/selinux/config
  SELINUX=disabled 　　　　　　　　　　　#selinux关闭
  SELINUX=enforcing 　　　　　　　　　　　#selinux开机设定为强制状态此状态为selinux开启

  "selinux开启或关闭需要重启系统"

• 三种状态
  enforcing： 不符合条件一定不能被允许，并会收到警告信息
  permissive：不符合条件被允许，并会收到警告信息
  disable ： selinux 关闭，服务并不会受到影响

• selinux状态的查看：
  getenforce
  

• selinux 在开启状态强制和警告状态的切换
  setenforce 0 　　　　　　　 ##警告
  setenforce 1 　　　　　　　##强制

• selinux日志位置：/var/log/audit/audit.log

安全上下文的修改

• 查看
  ls -Z 　　　　　　　 ##查看文件的安全上下文
  ls -Zd 　　　　　　　##查看目录的安全上下文
  ps auxZ 　　　　　　##查看进程的安全上下文

selinux开启提供的安全上下文对文件的影响:
对于vsftpd服务，当selinux开启时，服务端在默认发布目录下的文件，如果安全上下文不时public_content_t ，则在客户端就看不到该文件

当修改selinux状态为警告模式,为了使selinux在强制模式下，也能访问到该文件，可以通过修改文件的安全上下文来达到效果

• 临时修改安全上下文
  此方式更改的安全上下文在selinux重启后会还原
  chcon -t public_content_t /var/ftp/mntfile

chcon -Rt public_content_t /westos #修改目录及目录中的所有>子文件的安全上下文

• 永久修改安全上下文
  #如果需要特殊指定安全上下文需要修改内核安全上下文列表
  semanage fcontext -l 　　　　　　　　　　　#查看内核安全上下文列表
  修改匿名用户的发布目录为/westos ，在/westos/下创建5个文件，

  semanage fcontext -a -t public_content_t ‘/westos(/.*)?’
  restorecon -RvvF /westos/

  touch /.autorelabel ##重启系统时selinux初始化文件标签开关文件

sebool 值

当selinux 打开之后，只是修改vsftpd服务的主配置文件中的上传功能，并不能使匿名用户具有上传功能，因为selinux打开之后，会自动给服务加一个bool值，用来控制服务的开关

getsebool -a 　　　　　　　　　　　　#显示服务的bool值

setsebool -P ftpd_anon_write on 　　　　　　#更改chcon -t public_content_rw_t /westos/pub/

SEPORT

当selinux 开启时，系统默认一些服务只能使用固定端口，例如httpd 80sshd 22 ,
通过服务的主配置文件时不能修改该端口的。

• semanage port -l 　　　　　#查看selinux提供的固定端口列表

• semanage port -a -t ssh_port_t -p tcp 6666 　　　　　#添加一个默认端口
  

  测试;
  

• semanage port -d -t ssh_port_t -p tcp 6666 　　　　　#删除默认端口
  

setrouble

/var/log/audit/audit.log ##selinux警告信息
/var/log/messages ##selinux问题解决方案

#setroubleshoot-server ##此软件功能是采集警告信息并分析得到解决方案存放

到message中