一、核心級加強型火牆

檢視：getenforce
開啟後給每個檔案和程式新增標籤——安全上下文
匹配則可以訪問

檔案是功能標籤
程式是加了波爾開關

修改狀態檔案

狀態：
enforcing  強制：拒絕訪問，有警告資訊
permissive 警告:可以訪問，有警告資訊
disabled   關閉：

切換：setenforce 0 切換到警告狀態  （開啟模式下）
     setenforce 1 切換到強制狀態

1、對檔案的影響

臨時更改上下文
[[email protected]

[[email protected] ~]#  chcon -t public_content_t /ftphome/ -R
[[email protected] ~]# ls -Zb /ftphome/
drwxr-xr-x. root root unconfined_u:object_r:public_content_t:s0 westos1

改為關閉狀態重起
在改為強制狀態重起
重起後臨時更改失效

對檔案的影響
永久更改上下文
檢視：
[[email protected] ~]# ls -Zb /var/ftp/

更改：
[[email protected] ~]# semanage fcontext -l | grep /var/ftp/

[[email protected] ~]# semanage fcontext -l | grep /ftthome/
[[email protected] ~]# semanage fcontext -a -t public_content_t '/ftthome(/.*)'
[[email protected]

restorecon -RvvF /ftthome/

測試
[[email protected] ~]# ls -Zb /ftthome/

對程式的影響

確保警告模式下匿名使用者能上傳
[[email protected] ~]# vim /etc/vsftpd/vsftpd.conf
[[email protected] ~]# chgrp ftp /var/ftp/pub/
[[email protected] ~]# chmod 775 /var/ftp/pub/

[[email protected] ~]# lftp 172.25.254.138
lftp 172.25.254.138:~> ls

-P  永久開啟
[[email protected] ~]# setsebool -P ftpd_anon_write on
[[email protected] ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> on

日誌管理
檢視安裝包
[[email protected] pub]# rpm -qa | grep setroubleshoot
setroubleshoot-3.2.17-2.el7.x86_64
setroubleshoot-plugins-3.0.59-1.el7.noarch
setroubleshoot-server-3.2.17-2.el7.x86_64
安裝
[[email protected] pub]# yum install trouble -y
[[email protected] pub]# yum install setroubleshoot.x86_64 -y

安裝後
[[email protected] pub]# cat /var/log/messages
Nov  3 22:20:01 localhost systemd: Starting Session 42 of user root.
Nov  3 22:20:01 localhost systemd: Started Session 42 of user root.

日誌存放在
[[email protected] pub]# cat /var/log/audit/audit.log   提供報錯
 
[[email protected] pub]# cat /var/log/messages          提供報錯原因