selinux_example.pptVIP

Selinux 与HTTP的应用 测试： * * Selinux 下匿名FTP的使用 1，确认已经启用了Selinux： [root@sgzhang ~]# getenforce Enforcing 2，启动FTP deamon： [root@sgzhang ~]# ps -efZ |grep vsftpd root:system_r:ftpd_t:s0 root 12636 1 0 20:13 ? 00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf Selinux 下匿名FTP的使用 1， 在匿名访问目录下创建2个文件进行测试，一个是在该目录下手动创建，这样 该文件会自动继承/var/ftp/pub下的目录上下文的值，一个用mv命令从root目录下移 动过来，这样的文件会保留root目录下的安全上下文，如下 [root@sgzhang pub]# pwd /var/ftp/pub [root@sgzhang pub]# echo just a test test.txt [root@sgzhang pub]# chmod 755 test.txt [root@sgzhang pub]# ls -Z -rwxr-xr-x root root root:object_r:public_content_t:s0 test.txt Selinux 下匿名FTP的使用 1， 在匿名访问目录下创建2个文件进行测试，一个是在该目录下手动创建，这样 该文件会自动继承/var/ftp/pub下的目录上下文的值，一个用mv命令从root目录下移 动过来，这样的文件会保留root目录下的安全上下文，如下 [root@sgzhang ~]# pwd /root [root@sgzhang ~]# echo aaa123 root.txt [root@sgzhang ~]# chmod 755 /root/root.txt [root@sgzhang ~]# mv root.txt /var/ftp/pub/ [root@sgzhang ~]# ls -Z /var/ftp/pub/ -rw-r-xr-x root root root:object_r:user_home_t:s0 root.txt -rwxr-xr-x root root root:object_r:public_content_t:s0 test.txt Selinux 下匿名FTP的使用 使用匿名登录测试： [root@sgzhang pub]# lftp localhost lftp localhost:~ cd pub cd ok, cwd=/pub lftp localhost:/pub ls -rwxr-xr-x 1 0 0 12 Aug 23 12:19 test.txt -rwxr-xr-x 1 0 0 910974 Aug 04 02:19 yum lftp localhost:/pub 发现这里看不到root.txt文件 Selinux 下匿名FTP的使用 已知系统启动了Selinux，先查看系统日志，有两个工具可以收集到Selinux产生的 日志，一个是setroubleshoot，对应的软件包为setroubleshoot-server-2.0.5-5.el5 一个是audit，对应的软件包名称是audit-1.7.13-2.el5，先使用audit工具，使用方法 如下： 系统中提供了audit相关的命令，常用的有audit2why和audit2allow，audit产生的日志 放在/var/log/audit， 由于此文件记录的信息很多不宜直接查看，可以借助audit2why 命令，首先启动audit deamon [root@sgzhang audit]# /etc/init.d/auditd status auditd is stopped [root@sgzhang audit]# /etc/init.d/auditd start Starting auditd: [ OK ] [root@sgzhang audit]# /etc/init.d/auditd status auditd (pid 4013) is running... Selinux 下匿名FTP的使用 在客户端登录FTP服务器时会出发audi