Linux selinux对文件的控制

selinux 安全性概念

　　SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制.在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 SELINUX 访问权限。因此 , 即使以超级用户身份root 运行进程 , 根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 ) 标签

selinux 的启动关闭与查看

SELINUX=enforcing|permissive|disabled

cat /etc/sysconfig/selinux

修改selinux状态

setenforce 0|1

1 enforcing 开启状态下的强制状态
0 permissive 开启状态下的警告状态
disabled 关闭状态

开启状态和关闭状态之间互相转换的话必须重启

selinux 安全上下文访问规则

　　WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t系统上的文件和资源也设置了 SELINUX 上下文标签 , 并且重要的部分是 SELINUX 类型。例如 , /var/www/html 中的文件具有类型 httpd_sys_content_t 。 /tmp 和 /var/tmp 中的文件通常具有类型 tmp_tSeliux 策略具有允许以 httpd_t 身份运行的进程访问标记为httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即使常规文件权限指出应该允许这些访问

当selinux插件处于关闭状态，vsftp服务无安全标签

当selinux插件处于强制或者警告状态时，重启时会给所有服务添加安全标签

selinux不同级别的文件管理

（1）关闭状态下客户端可看到移动pub目录的文件

（2）强制状态下客户端不能看到移动到pub目录下的文件

（3）警告状态下客户端可以看到移动到pub目录下的文件，但会产生警告日志

服务端警告日志

文件的安全上下文设置

实验环境（修改ftp的默认发布目录）

需要新建目录和文件

ls -Zd 查看目录安全上下文目录绝对路径

临时修改上下文，重启后失效

chcon -t 更改文件的selinux安全上下文，修改前安全上下文类型default_t，用户登陆后无法查看

永久修改安全上下文

查看安全上下文列表 semanage fcontext

将指定目录加入到安全上下文列表中

重新加载安全上下文列表 restorecon -RvvF

管理 SELinux 布尔值

　　SELinux 布尔值是更改 SELinux 策略行为的开关。 SELinux 布尔值是可以启用或禁用的规则。安全管理员可以使 SELinux 布尔值来调整策略 , 以有选择地进行调整许多软件包都具有 man page *_selinux(8), 其中详细说明了所使用的一些布尔值 ; man -k ‘_selinux’ 可以轻松地找到这些手册getsebool 用于显示布尔值 , setsebool 用于修改布尔值setsebool -P 修改 SELinux 策略 , 以永久保留修改。semanage boolean -l 将显示布尔值是否永久。

查看selinux中服务的bool值