linux 内核防火墙

一、
1,在服务端下载vsftpd;打开服务，设置开机自启
2，关闭火墙，设置开机不启动
3，在客户端匿名用户可以登陆
二、

1,在 /mnt下建立文件1，移动到/var/ftp/pub/

匿名登陆可以看到建立的文件1

#getenforce

显示 Disabled

2，vim /etc/sysconfig/selinux，改成SELINUX=enforcing  由于是更改内核，需要重启

3，在 /mnt下建立文件2，移动到/var/ftp/pub/，匿名登陆看不到建立的文件2，原因是内核给文件了上下文，只有匹配才可以打开

##getenforce

显示Enforcing     警告且拒绝 不允许查看

 [[email protected] pub]# setenforce 0
[[email protected] pub]# getenforce

Permissive

警告但是允许查看

[[email protected] pub]# setenforce 1
[[email protected] pub]# getenforce

Enforcing

警告且不允许查看

三、安全上下文

查看程序标签

查看文件标签

touch /mnt/westos
mv /mnt/westos /var/ftp/pub/     不能看到的

chcon -t public_content_t westos    修改安全标签

修改ftp的默认发布目录

 mkdir /westos/linux -p      建立目录

 vim /etc/vsftpd/vsftpd.conf     更改匿名用户登陆的家目录为 /westos
##anonymous_enable=YES

anon_root=/westos

     

在内核防火墙为enforcing时，无法查看  这是文件和目录的安全上下文为default_t  ，不能被访问 

需要修改    -R 表示第归

这种方法是临时的，重起后会失效

###永久修改

查看安全上下文列表

查看 /westos/  没有

添加

同步

查看效果

#####selinux的boll值

查看selinux中服务的bool值

ftp_home_dir关闭时，本地用户不能上传

1 表示打开     0 表示关闭   -p表示永久

打开后，匿名用户可以上传

[[email protected] linux]# cat /var/log/messages

而selinux服务本身产生的日志存放在/var/log/audit/audit.log中

[[email protected] linux]# cat /var/log/audit/audit.log