selinux

1.selinux

 

内核级增强型防火墙，配置文件子在 /etc/selinux/config  和 /etc/sysconfig/selinux。这两个改哪一个都行。后者是个连接文件，连接到前者。

 

2.如何管理selinux级别

selinux开启或者关闭）

vim /etc/sysconfig/selinux

selinux=disabled##关闭状态

selinux=Enforcing##强制状态

selinux=Permissive##警告状态

 

getenforce##查看状态

当selinux开启时

setenforce 0|1##更改selinux运行级别

 

3.简单改变文件的上下文

 

 

注意：cp 能根据目录实时更新文件的上下文。而mv 会保留原来的上下文。若是上面的mv 换成 cp的话，lftp 就能看到file2了

上面 最重要的两个命令是：ls -Z  /var/ftp/pub  这个-Z参数

chcon -t type file   也能够用 restorecn filename

 

（1）若是另外指定ftp的发布目录为/ftp

   须要在配置文件 /etc/vsftp/vsftp.conf 中加一行 anon_root = /ftp

 

 

这时你看不到/ftp下新建立的文件，可是把selinux设置为permissive后就能看到了：

 

 

因此以前看不到file1-5的缘由是selinux 也就是上下文的缘由。

 

 

 

（2）临时修改 /ftp下面的文件的上下文

  

修改以后，lftp就能够看到

 

 

可是，刷新文件上下文时，文件的上下文又会变回原来的

 

 

因此临时修改的不靠谱，须要永久改变

 

(3)永久改变目录和文件的上下文

 semanage fcontext -l 是列出目前系统中全部的上下文。

 

格式要像下面这样写 ‘/ftp(/.*)?’ -t后面是具体的上下文格式，根据实际须要指定。-a 是添加的意思。

第二条命令时验证是否成功，由于尚未刷新，因此看不到

 

 

刷新，使修改生效

 

 

接下来咱们不管是刷新仍是建立文件，咱们的修改也是生效的

 

 

 

4.匿名用户对ftp用户的写

 （1）通常设置

  修给ftp配置文件，使匿名用户能够上传，并把要上传到的目录的权限改为777。把selinux 设为警告状态，这时候是能建立文件的

 

 

（2）把selinux处于强制状态，这时候就不能上传了。

 

（3）这时侯咱们的上下文时只读的，咱们改为读写的，可仍是不能上传文件

 

 

 

 

（4）开启服务的阀门

 

 

-P 是永久生效的意思

 

 

 

综上所述：

发布目录权限改为777 ——》配置/etc/vsftpd/vsftpd.conf 使anon_upload_enable=yes ——》chcon -t public_content_rw_t /ftp/westos ——》setsebool -P ftpd_anon_write on

 

5.图形管理selinux

安装软件