linux基础2-10selinux的管理

1.selinux安全概念
selinux(安全增强型linux)是可以保护系统安全性的额外机制.
web服务器的httpd进程设置了selinux上下文system_u:system_r:httpd_t标签.该上下文的重要部分是第三个用冒号分隔的字段selinux类型:httpd_t•系统上的文件和资源设置了selinux 上下文标签,并且重要的部分是selinux类型.例如/var/www/html中的文件具有类型 httpd_sys_content_t ./tmp和/var/tmp中的文件通常具有类型tmp_t• Seliux策略具有允许以httpd_t身份运行的进程访问标记为httpd_sys_content_t的文件的规则.没有规则允许这
些进程访问标记有tmp_t的文件,因此将拒绝这些访问,即使常规文件权限指出应该允许这些访问.
2.selinux模式
强制模式:selinux主动拒绝访问尝试读取类型上下文为tmp_t的web服务器。在强制模式中 ,
selinux既记录冲突,也强制执行规则.
许可模式:通常用于对问题进行故障排除。在许可模式下，即使没有明确规则，selinux也允许所有交互，并且记录所有被拒绝的交互。
3.更改selinux模式
getenforce
setenforce 0|1 ##0表示permissive 警告 1表示enforcing 强制

/etc/sysconfig/selinux ##selinux的配置文件
SELINUX=disable表示关闭，enforcing表示强制，permissive表示警告。
disable状态切换到permissive状态或enforcing状态需要重启系统

4.显示进程和文件的selinux上下文
显示文件上下文: ps auxZ | grep vsftpd
显示目录上下文: ls -lZ /var/ftp/pub/
查看文件上下: ls -Z filename

5.管理文件的selinux上下文
chcon -t public_content_t /var/ftp/pub/filename ##给文件添加上下文

mkdir /var/ftp/pub/westos/
chcon -t public_content_t /var/ftp/pub/westos/ -R ##给目录加上下文 -R代表递归式的添加

永久给目录添加上下文:
semanage fcontext -l | grep /var/ftp ##查看属性
semanage fcontext -a -t public_content_t ‘/westos(/.*)?’
restorecon /westos/ -FvvR

6.管理服务的bool值
getsebool -a | grep ftp ##查看ftp服务的bool值
setsebool -P ftp_home_dir on ##开启ftp服务ftp_home_dir功能 -P是永久开启