selinux
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了selinux相关的知识,希望对你有一定的参考价值。
1.selinux
内核级加强型防火墙,配置文件子在 /etc/selinux/config 和 /etc/sysconfig/selinux。这两个改哪个都行。后者是个链接文件,链接到前者。
2.如何管理selinux级别
selinux开启或者关闭)
vim /etc/sysconfig/selinux
selinux=disabled##关闭状态
selinux=Enforcing##强制状态
selinux=Permissive##警告状态
getenforce##查看状态
当selinux开启时
setenforce 0|1##更改selinux运行级别
3.简单改变文件的上下文
注意:cp 能根据目录实时更新文件的上下文。而mv 会保留原来的上下文。如果上面的mv 换成 cp的话,lftp 就能看到file2了
上面 最重要的两个命令是:ls -Z /var/ftp/pub 这个-Z参数
chcon -t type file 也可以用 restorecn filename
(1)如果另外指定ftp的发布目录为/ftp
需要在配置文件 /etc/vsftp/vsftp.conf 中加一行 anon_root = /ftp
这时你看不到/ftp下新创建的文件,但是把selinux设置为permissive后就能看到了:
所以之前看不到file1-5的原因是selinux 也就是上下文的原因。
(2)临时修改 /ftp下面的文件的上下文
修改之后,lftp就可以看到
但是,刷新文件上下文时,文件的上下文又会变回原来的
所以临时修改的不靠谱,需要永久改变
(3)永久改变目录和文件的上下文
semanage fcontext -l 是列出目前系统中所有的上下文。
格式要像下面这样写 ‘/ftp(/.*)?’ -t后面是具体的上下文格式,根据实际需要指定。-a 是添加的意思。
刷新,使修改生效
接下来我们不论是刷新还是创建文件,我们的修改也是生效的
4.匿名用户对ftp用户的写
(1)一般设置
修给ftp配置文件,使匿名用户可以上传,并把要上传到的目录的权限改成777。把selinux 设为警告状态,这时候是能创建文件的
(2)把selinux处于强制状态,这时候就不能上传了。
(3)这时侯我们的上下文时只读的,我们改成读写的,可还是不能上传文件
(4)开启服务的阀门
-P 是永久生效的意思
综上所述:
发布目录权限改成777 ——》配置/etc/vsftpd/vsftpd.conf 使anon_upload_enable=yes ——》chcon -t public_content_rw_t /ftp/westos ——》setsebool -P ftpd_anon_write on
5.图形管理selinux
安装软件
以上是关于selinux的主要内容,如果未能解决你的问题,请参考以下文章