當(dāng)前位置：首頁 > 运维知识 > linux >内容正文

linux

Linux 中内核级加强型火墙的管理

發(fā)布時間：2024/9/3 linux 40 豆豆

生活随笔收集整理的這篇文章主要介紹了 Linux 中内核级加强型火墙的管理小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

一、Selinux的功能

1.觀察現(xiàn)象
當(dāng)Selinux未開啟時

在/mnt中建立文件被移動到/var/ftp下可以被vsftpd服務(wù)訪問
匿名用戶可以通過設(shè)置后上傳文件
當(dāng)使用ls -Z /var/ftp查看文件時顯示"?"
ps auxZ? | grep vsftpd 時顯示：
-??? root? 8546? 0.0? 0.0? 26952?? 408 ?? Ss 10:35? 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

當(dāng)selinux開啟:
在/mnt中建立文件被移動到/var/ftp下不可以被vsftpd服務(wù)訪問
匿名用戶可以通過設(shè)置后仍然不能上傳文件
當(dāng)使用ls -Z /var/ftp查看文件時顯示信息
ps auxZ? | grep vsftpd 時顯示：
system_u:system_r:ftpd_t:s0-s0:c0.c1023 root 6577 0.0? 0.0 26952?? 412 ???????? Ss?? 10:50?? 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf

selinux：
對于文件的影響：
當(dāng)selinux開啟時，內(nèi)核會對每個文件及每個開啟的程序進(jìn)行標(biāo)簽加載
標(biāo)簽內(nèi)記錄程序和文件的安全上下文（context）

對于程序功能的影響：
當(dāng)selinux開啟會對程序的功能加載開關(guān)，并設(shè)定此開關(guān)的狀態(tài)為關(guān)閉
當(dāng)需要此功能時需要手動開啟功能開關(guān)
此開關(guān)叫做sebool

二、Selinux的狀態(tài)及管理

1.selinux的開啟
vim /etc/selinux/config
7 SELINUX=disabled?? ?#selinux關(guān)閉
7 SELINUX=enforcing?? ?#selinux開機(jī)設(shè)定為強(qiáng)制狀態(tài)此狀態(tài)為selinux開啟
7 SELINUX=permissive?? ?#selinux開機(jī)設(shè)定為警告狀態(tài)此狀態(tài)為selinux開啟
"selinux開啟或關(guān)閉需要重啟系統(tǒng)"??

enforcing：
不符合條件一定不能被允許，并會收到警告信息

permissive：
不符合條件被允許，并會收到警告信息

selinux狀態(tài)的查看：
getenforce

selinux開啟后強(qiáng)制和警告級別的轉(zhuǎn)換
setenforce 0?? ?##警告
setenforce 1?? ?##強(qiáng)制

selinux日志位置：
/var/log/audit/audit.log

三、Selinux的安全上下文

1.查看
ls -Z?? ??? ?##查看文件的安全上下文
ls -Zd?? ??? ?##查看目錄的安全上下文
ps auxZ?? ??? ?##查看進(jìn)程的安全上下文

2.修改安全上下文
#臨時修改
#此方式更改的安全上下文在selinux重啟后會還原?????? ***（重啟是指關(guān)閉后再次開啟）
chcon -t ?? ?標(biāo)簽?? ??? ??? ?文件|目錄?? ?
chcon -t ?? ?public_content_t ?? ?/var/ftp/westosfile1
chcon -Rt ?? ?public_content_t?? ?/westosdir?? ?#修改目錄及目錄中的所有子文件的安全上下文

#永久修改安全上下文
#如果需要特殊指定安全上下文需要修改內(nèi)核安全上下文列表

semanage fcontext -l ##查看內(nèi)核安全上下文列表 semanage fcontext -a -t public_content_t '/westosdir(/.*)?' semanage fcontext -a -t public_content_rw_t '/var/ftp/pub(/.*)?' 增加寫的權(quán)限 restorecon -RvvF /westosdir/ touch /.autorelabel ##重啟系統(tǒng)時selinux初始化文件標(biāo)簽開關(guān)文件

四、SEBOOL

getsebool -a ##現(xiàn)實服務(wù)的bool值 setsebool -P ftpd_anon_write on #更改

五、SEPORT

semanage port -l | grep http semanage port -a -t http_port_t -p tcp 6666 semanage port -d -t httpd_port_t -p tcp 6666 systemctl restart httpd systemctl stop httpd

六、setrouble

#/var/log/audit/audit.log ##selinux警告信息 #/var/log/messages ##selinux問題解決方案 #setroubleshoot-server ##此軟件功能是采集警告信息并分析得到解決方案存放到message中若將setroubleshoot-server卸載后新產(chǎn)生的日志解決方案將不會存放到message中 > /var/log/audit/audit.log 清空日志 > /var/log/messages lftp 172.25.254.101 ls quit cat /var/log/audit/audit.log cat /var/log/messages

總結(jié)

以上是生活随笔為你收集整理的Linux 中内核级加强型火墙的管理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： Apache 的管理及优化web
下一篇： Linux中的火墙策略优化(iptabl