Linux:内核加强型火墙的管理

Selinux的功能

1.selinux(安全增强型linux)：内核级的加强形火墙，内核上的插件，改变后要重启

是可保护系统安全性的额外机制。在某种程度上，它可以被看作是与标准权限系统并行的权限系统。
在常规模式中，以用户身份运行进程，并且系统上的文件和其他资源都设置了权限标签。
（控制哪些用户对哪些文件具有哪些访问权，selinux的另一个不同之处在于，若要访问文件必须具有普通访问权限和selinux访问权限。因此，即使以超级用户身份运行程序，根据进程以及文件或资源的selinux安全性上下文可能拒绝访问文件或资源

• 当selinux未开启时：
  在/mnt中建立的文件被移动到/var/ftp下可以被vsftp服务访问到；
  匿名用户可以通过设置后上传文件；
  当时用ls-Z /var/ftp查看时文件显示“？”；
  

ps auxZ | grep vsftp时显示：

• 当selinux开启时：
  在/mnt中建立文件被移动到/var/ftp下不可以被vsftp服务访问；
  匿名用户可以通过设置后仍然不能上传文件；
  当时用ls-Z /var/ftp查看时文件显示:
  ps auxZ | grep vsftp时显示：
  
  2.$selinux:$selinux:
• 对文件的影响：
  当selinux开启时，内核会对每个文件及每个开启的程序进行标签加载，标签内记录程序和文件的安全上下文（context）；
• 对于程序功能的影响：
  当selinux开启会对程序的功能加载开关，并设定此开关的状态为关闭，当需要此功能时需要手动开启功能开关；
  此开关叫sebool

Selinux的状态及管理

1. selinux开启：
   vim /etc/selinux/config
   

• selinux开启关闭需要重启系统
• $enforcing:$enforcing: 不符合条件一定不能被允许，并会收到警告信息
• $permissive:$permissive:不符合条件被允许，并会收到警告信息
  2.selinux状态的查看:
  $getenforce$getenforce
• selinux开启后强制和警告级别的转换：
• $setenforce0:$setenforce0:警告
• $setenforce1：$setenforce1：强制
• 

3.selinux日至位置：
$/var/log/audit/audit.log$/var/log/audit/audit.log

Selinux的安全上下文

1.查看：

ls -Z	查看文件的安全上下文
ls -Zd	查看目录的安全上下文
ps auxZ	查看年进程的安全上下文

2.修改安全上下文：

• 临时修改：此方式更改的安全上下文在selinux重启后会还原；
• chcon -t 标签 文件|目录
• 
  chcon -Rt public_content /westosdir :修改目录中所有子文件的安全上下文
  3.永久修改安全上下文：
• 如果需要特殊指定安全上下文需要修改内核安全上下文列表
  
• semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’
  restorecon -RvvF /westosdir/
  R：递归 -F：刷新 vv：显示详细信息
  touch /.autorelabel
  ##重启系统时 selinux 初始化文件标签开关文件

SEBOOL

• 更改
• 

SEPORT

semanage port -l | grep ssh ##查看服务可以使用的端口
semanage port -a -t ssh_port_t -p tcp 1111 ##添加端口

SETROUBLE

touch /mnt/westosfile
mv /mnt/westosfile /var/ftp/
lftp：测试

#/var/log/audit/audit.log
##selinux 警告信息

#/var/log/messages
##selinux 问题解决方案

#setroubleshoot-server
##此软件功能是采集警告信息并分析得到解决方案存放到
message 中

semanage port -d -t ssh_port_t -p tcp 1111
‘> /var/log/audit/audit.log
’>/var/log/messages
systemctl restart sshd
systemctl stop sshd