SELinux的基本配置和利用思绪[Linux安全]

　　【1】 SELinux开机的三种状况

　　配置文件 /etc/sysconfig/seLinux

　　SELINUX = Enforcing (默许)

　　Disabled : 停用SELinux功效

　　Permissive : 仅显示告诫信息,不禁止

　　Enforcing : 强迫履行SELinux功效,产生告诫信息

　　SELINUXTYPE=targeted www.110hack.com

　　strict : 完好的保护功效,包含网络服务,普通指令及利用程序

　　targeted : 保护网络相关服务

　　dhcpd

　　httpd

　　mysqld

　　named

　　nscd

　　ntpd

　　portmap

　　postgres

　　snmpd

　　squid

　　syslogd

　　【2】 查看SELinux 状况

　　sestatus

　　或

　　getenforce 查看SELinux 状况

　　【3】 重启启动SELinux

　　调用 /sbin/setfiles 为全部文件打标志

　　ls -Z 查看文件 www.2cto.com

　　ps -Z 查看进程

　　id -Z 查看当前用户

　　【4】设置SELinux状况 而不重启系统

　　setenforce [ Enforcing | Permissive | 1 | 0 ]

　　【5】 图形化管理页面

　　system-config-selinux

　　【6】SELinux 利用思绪 在SELinux开启的情形下,配置vsftpd服务

　　1】 设置SELinux 答应情势

　　setenforce Permissive

　　2】 安装启动vsftpd 服务

　　yum install vsftpd -y

　　service vsftpd start

　　3】 测试

　　匿名登录并下载

　　利用本地用户登录,并下载,上传

　　4】设置SELinux 强迫情势

　　setenforce Enforcing

　　5】再次测试相关功效

　　匿名用户登录并下载 仍旧可以

　　利用本地用户登录,并下载,上传 --- 被回绝

　　【6】配置SELinux,放行需求的功效

　　1】办法一 看日记

　　a 文本方法

　　正常情形下 日记会在服务器的 /var/log/messages 文件中存在

　　还会在 /var/log/audit/audit.log 存在

　　b 图形方法

　　正常屏幕的右上角会自动弹出一个黄色的五角星 (selinux troubleshooter)

　　若未看到 保证 /etc/syslog.conf 正常 启动service syslog restart

　　同时启动以下服务: www.110hack.com

　　[root@www ~]# setroubleshootd

　　c 查看日记

　　tail /var/log/messages

　　sealert -l xxxxxxxxxxxxxxxxxxxx

　　sealert -a /var/log/audit/audit.log

　　d 日记中提醒说

　　setsebool -P ftp_home_dir=1

　　测试,系统帐号登录ftp登录成功

　　2】办法二 看man手册

　　man -k ftp | grep selinux

　　man 8 ftp_selinux