返回顶部

Linux selinux对文件的控制

selinux 安全性概念

  SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制.在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 SELINUX 访问权限。因此 , 即使以超级用户身份root 运行进程 , 根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 ) 标签 

selinux 的启动关闭与查看 

  • SELINUX=enforcing|permissive|disabled
cat /etc/sysconfig/selinux

修改selinux状态

setenforce 0|1 
  • 1 enforcing 开启状态下的强制状态

  • 0 permissive 开启状态下的警告状态

  • disabled 关闭状态

开启状态和关闭状态之间互相转换的话必须重启

selinux 安全上下文访问规则

  WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t系统上的文件和资源也设置了 SELINUX 上下文标签 , 并且重要的部分是 SELINUX 类型。例如 , /var/www/html 中的文件具有类型 httpd_sys_content_t 。 /tmp 和 /var/tmp 中的文件通常具有类型 tmp_tSeliux 策略具有允许以 httpd_t 身份运行的进程访问标记为httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即使常规文件权限指出应该允许这些访问

当selinux插件处于关闭状态,vsftp服务无安全标签

 

 当selinux插件处于强制或者警告状态时,重启时会给所有服务添加安全标签 

selinux不同级别的文件管理 

(1)关闭状态下 客户端可看到移动pub目录的文件 

 

(2)强制状态下 客户端不能看到移动到pub目录下的文件

 

 

(3)警告状态下 客户端可以看到移动到pub目录下的文件,但会产生警告日志 

 

 

服务端警告日志 

文件的安全上下文设置

实验环境(修改ftp的默认发布目录) 

 

需要新建目录和文件

 

 ls -Zd 查看目录安全上下文 目录绝对路径

 

临时修改上下文,重启后失效 

  • chcon -t 更改文件的selinux安全上下文,修改前安全上下文类型default_t,用户登陆后无法查看 

 

永久修改安全上下文

  • 查看安全上下文列表 semanage fcontext

 

 

将指定目录加入到安全上下文列表中

 

重新加载安全上下文列表 restorecon -RvvF

 

管理 SELinux 布尔值

  SELinux 布尔值是更改 SELinux 策略行为的开关。 SELinux 布尔值是可以启用或禁用的规则。安全管理员可以使 SELinux 布尔值来调整策略 , 以有选择地进行调整许多软件包都具有 man page *_selinux(8), 其中详细说明了所使用的一些布尔值 ; man -k ‘_selinux’ 可以轻松地找到这些手册getsebool 用于显示布尔值 , setsebool 用于修改布尔值setsebool -P 修改 SELinux 策略 , 以永久保留修改。semanage boolean -l 将显示布尔值是否永久。

查看selinux中服务的bool值

getsebool -a

 

 当ftp_home_dir --> off 功能关闭时,本地用户登陆不能操作

 

修改bool值,打开服务 setsebool -P ftp_home_dir 1 -P 永久修改 0 关闭服务 1 开启服务

 

打开ftp_home_dir功能后,本地用户登陆具备相关权限

 

 

posted @ 2019-10-26 22:22  Crazymagic  阅读(1586)  评论(0编辑  收藏  举报