目录
一. selinux功能
1. selinux关闭状态
在/mnt中建立文件移动到ftp默认发布目录中可以被访问
在/mnt中建立文件文件安全上下文为空,ftp程序安全上下文为空
用户可以上传文件
2. selinux开启状态
重启系统
当selinux开启以上功能均失败
selinux: 内核级加强型火墙
selinux功能:
当selinux开启,会给系统中的每一个文件及每一个程序加载安全上下文,特定安全上下文的程序只能访问特定安全上下文的文件
,会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态,以保证服务安全性,当需要此功能时,需要超级用户手动调节。
二. selinux状态
getenforce ##查看状态
状态类型:
Disabled ##关闭
enforcing ##强制 既警告,也限制
permissive ##警告 只警告,不限制
setenforce 0|1 ##0表示警告模式,1表示强制模式
selinux 开关
vim /etc/sysconfig/selinux
reboot ##当Disabled与其他状态转换时都需重启
三. 安全上下文
1. 安全上下文的临时更改
chcon -t 安全上下文 文件
chcon -R -t 安全上下文 目录
2. 永久更改目录或文件的安全上下文
mkdir /ftpuserdir
vim /etc/vsftpd/vsftpd.conf ##设定westos用户登录服务时默认家目录为/ftpuserdir
local_root=/ftpuserdir
semanage fcontext -l | grep ftpuserdir ##内容无法访问,因为selinux安全上下文不匹配
semanage fcontext -l | grep /var/ftp/
semanage fcontext -a -t public_content_t /ftpuserdir'(/.*)?' ##此命令只添加列表信息,当前不生效
restorecon -RvvF /ftpuserdir/ ##刷新文件安全上下文
四. sebool
sebool 是selinux对服务功能添加的开关
getsebool -a | grep ftp ##查看ftp的功能开关
getsebool -P ftpd_anon_write=1|0 ##表示开启此匿名用户写的功能
五. setrouble
dnf install setroubleshoot-server-3.3.19-1.e18.x86_64 -y
sealert -a /var/log/audit/audit.log ##分析日志并提供解决方案
来源:CSDN
作者:FYRXP
链接:https://blog.csdn.net/FYRXP/article/details/104435837