1.selinux

selinux 核心級加強型防火牆
起到限制服務功能，限制服務訪問兩個功能

配置環境

1）刪除vsftpd下的配置資訊，重灌vsftpd服務，裝完後開啟服務


2）在/mnt/下建立檔案file，並將建好的westos檔案轉移到/var/ftp/pub/下。用lftp匿名訪問，發現可以檢視轉移過來的檔案
。並且本地使用者訪問時可以上傳檔案

3）以上操作都是在selinux沒有工作時實現的。當我們開啟selinux後再執行上面的操作


當用lftp匿名訪問時發現檢視不了file1，並且本地使用者訪問時不能上傳檔案

2.selinux的狀態

selinux有三個狀態，Disable（關閉），Permissive（警告），Enforcing（強制）。當由Disable向其他兩個狀態轉換或者其他兩個狀態向Disable轉換時需要修改配置檔案/etc/sysconfig/selinux並重啟虛擬機器。Permissive與Enforcing轉換使用setenforce命令和修改配置檔案/etc/sysconfig/selinux都可以，並且不用重啟虛擬機器。

當selinux關閉時setenforce命令無法使用

getenforce ##檢視selinux狀態
setenforce 0 ##更改selinux為警告狀態
getenforce 1 ##更改selinux為強制狀態

3.安全上下文

ls -Z          ##檢視檔案安全上下文

臨時修改安全上下文，重啟selinux後會改回預設

chcon -t 安全上下文 dir -R
chcon -t 安全上下文 file

永久修改安全上下文

mkdir /lol
touch /lol/file{1..3}
semanage fcontext -a -t public_content_t '/lol(/.*)?'          ##更改安全上下文，a表示新增 t表示型別
restorecon -FvvR /lol/      ##重新整理/lol/目錄安全上下文，F指向、vv顯示過程、R遞迴
 

semanage fcontext -d /lol ##刪除安全上下文列表中的/lol

4.selinux影響服務功能

getsebool -a | grep ftp        ##檢視關於ftp的所有sebool值  

setsebool -P ftp_home_dir on     ##開啟sebool值中ftp_home_dir的開關，
setsebool -P ftpd_anon_write on  

chmod 775 /var/ftp/pub/    ##修改許可權
chgrp ftp /var/ftp/pub/      
chcon -t public_content_rw_t /var/ftp/pub/  ##修改安全上下文
 

然後匿名使用者就可以上傳檔案了

5.監控selinux錯誤資訊

當由於selinux產生報錯時

報錯會在日誌/var/log/messages裡顯示。當安裝有setroubleshoot-server軟體時。日誌中會提供解決方法。