***************10.selinux***************
##1.什么是selinux##
selinux,内核级加强型防火墙
##2.如何管理selinux级别##
selinux开启或者关闭
vim /etc/sysconfig/selinux
selinux=disabled //关闭状态
selinux=Enforcing //强制状态
selinux=Permissive //警告状态
getenforce //查看状态
当selinux开启
setenforce 0|1 //更改selinux运行级别(0:警告,1:强制)
##3.对服务访问文件的管理##
如果文件安全上下文和服务不匹配,则服务看不到此文件
如图所示
修改文件安全上下文
<临时更改>
chcon -t 安全上下文 文件
chcon -t public_content_t /publicftp -R
测试
<永久更改>
临时更改只能支持这一次selinux设置下安全上下文的改变,当关闭selinux之后重新打开selinux,系统内核会重新加载安全上下文
semanage fcontext -l //列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?‘
restorecon -FvvR /publicftp///刷新文件安全上下文
##4.对服务本身功能的管理##
出于对系统安全的考虑,一些服务的一些功能默认是关闭的
如何控制selinux对服务功能的开关
getsebool -a | grep 服务名称//查看服务功能允许状态
getsebool -a | grep ftp
setsebool -P 功能bool值 on|off //设置服务功能状态
setsebool -P ftpd_anon_write on
##5.监控selinux的错误信息##
setroubleshoot-server