一、基本介绍
全称:NSA Security-Enhanced Linux(内核级加强火墙)
配置文件:/etc/sysconfig/selinux
功能:1.给系统每个文件及程序加载安全上下文,特定的安全上下文的程序只能访问特定的安全上下文文件;
2.对服务本身不安全的功能加载sebool,并且设定开关为关闭状态,当需要此服务时需要超级用户手动开启。
状态:
Disabled 关闭 enforcing 强制开启 permissive 警告 【注】警告状态:会对不允许的操作进行警告,但是不会阻止该操作;
强制状态:在日志中会产生对该操作的警告,并且组织该操作的进行。
二、selinux状态的调整
命令 效果 getenforce 查看selinux状态 setenforce 0 | 1 临时设定selinux;0表示警告模式;1表示强制模式 SELINUX=[Disabled | enforcing | permissive] 在配置文件(/etc/sysconfig/selinux)中,修改配置文件 【注】永久修改,需要reboot重启服务才能生效。
三、安全上下文
3.1 概念:定义某个进程允许做什么的许可和权限的集合
3.2 安全上下文临时更改
chcon -t 安全上下文 文件
chcon -R -t 安全上下文 目录 (-R 目录及目录下文件将要产生的文件的安全上下文全部更改)
【例】chron -t public_conten_t /var/ftp/westoslinuxfile
3.2 安全上下文永久更改
3.2.1 查看并修改内核级安全上下文信息:
查看:semanage fcontent -l | grep firedir
修改:semanage fcontest -a -t 安全上下文 目标文件/目录‘(/.*)?’
3.2.2 修改相同安全上下文的权限
四、sebool
4.1 查看对应程序的sebool开关:getsebool -a
4.2 sebool的设定
设定时常 格式 含义 临时 setsebool ftpd_anon_write(所要操作的对象) = 1 | 0(on | off ) 开启/关闭目标开关 永久 setsebool - P ftpd_anon_write(所要操作的对象) = 1 | 0(on | off ) 永久开启/关闭目标开关
五、setrouble
在普通方式查看的日志(/var/log/audit/audit.log)时,出现问题,只报错,但不提供修改方案。所以我们要安装setrouble的相应软件,进行查看日志,且含有解决方案。
安装setrouble软件,用sealert查看日志,对问题进行处理。
实验测定:
(1)清空日志,查看原警告信息
>/var/log/masssages
>/var/log/audit/audit.log
登录后,查看相应的日志;
(2)安装setrouble软件
(3)清空日志原日志信息,重新登录。
(4)分析日志内容,查看解决方案
上述为Linux下系统中selinux服务的基本介绍,若有问题,欢迎大家指出;因实验有时结果会覆盖上一条命令的操作,若上述内容还有所不懂,欢迎留言,会在第一时间给尽自己所能,给大家解决。愿上述内容有所用!