selinux (安全增强型Linux )安全增强型Linux是一个Linux内核模块,也是Linux的一个安全子系统。
<强>三种模式:
执行:强制模式,在selinux运作时,已经开始限制域/类型。
宽容:警告模式,在selinux运作时,会有警告讯息,但不会限制域/类型的存取。
禁用:关闭模式。
可用<代码> getenforce>
<强> selinux对文件的作用:
当开启selinux后,selinux会给每个文件加载标签上下文,安全上下文必须配对,否则文件不能访问
测试:
# # #开启selinux
创建文件,移动到ftp发布目录
<代码>触摸/mnt/filemv/mnt/文件/var/ftp/
用户登陆ftp查看文件
可以发现前面移动到ftp中的文件匿名用户不能看
但是该文件存在于ftp目录中
查看文件的安全上下文
<代码> ls - z/var/ftp/
可以看到两个文件的安全上下文并不相同,因此不会显示。
临时修改安全上下文
<代码> chcon - t public_content_t/var/ftp/file
登陆ftp查看文件
由于安全上下文对应一致,所以可以显示文件该文件
chcon只是对安全上下文的临时修改,当系统selinux重启后,修改则会失效。
# # #永久修改安全上下文
# #创建自己的ftp家目录,修改该目录安全上下文标签
# # #查看该目录的安全上下文
restorecon -RvvF/ftphome # # # R:递归vv:显示目录下的子目录或文件修改信息,F:强制设置目录中文件和目录安全上下文一致
安全上下文已经修改完成
<强> selinux对服务的作用:
selinux对服务的作用相当于给服务加上开关,该开关默认关闭。1:打开开关;0:关闭开关
selinux打开状态下,我们通过登陆ftp测试selinux对服务的开关作用。
用户不能对文件进行上传,删除等操作
查看selinux对ftp开关状态
setsebool - p ftp_home_dir alt=" Linux中selinux基础配置教程详解">
重新登陆ftp,用户可以上传文件
