02_linux网络服务-selinux管理-v10资料.pptVIP

chcon :改变某个文件或目录的上下文配置 chcon -R -u user_u -t public_content_rw_t /ftp 默认的文件配置保存在 /etc/selinux/targeted/contexts/files/file_contexts 如果你进行了错误的操作，想使某个文件返回原来的 SELinux配置，可以使用 restorecon 命令根据存储在 file_contexts 的配置进行恢复 Restorecon –v –R /home/tony chcon –reference 对象1 对象2 把对象1的安全环境类型应用到对象2上ce chcon –reference=/var/www/html index.html chcon –t tmp_t /path 修改目标对象的安全环境类型。 semanage 新建一条规则，指定/var/ftp/incoming目录及其下的所有文件的扩展属性为public_content_rw_t semanage fcontext -a -t public_content_rw_t /var/ftp/incoming/.* 验证： semanage fcontext -l | grep incoming SELinux 布尔值设置 SELinux 策略可以分为不同的类，一些于系统管理有关，一些关于服务,还有一些其他选项。 你做的任何改动都对应这 /selinux/booleans 目录下的布尔变量 配置让SELinux开启保护某些程序或关闭对些程序的某个项目的保护 selinux策略的控制 策略文件位置/selinux/booleans getsebool 控制策略 ：查看某个控制策略启用情况 getsebool -a [root@server ~]# setsebool httpd_enable_cgi 1 [root@server ~]# getsebool httpd_enable_cgi httpd_enable_cgi -- on setsebool –P 控制策略 on|off -P表示始终；开启或者关闭某个策略 setsebool -P ftp_home_dir=1 监视SELinux违反行为 sealert –a /var/log/audit /audit.log 查看selinux错误日志 semanage boolean -l 查看定义规则 grep avc /var/log/messages 看一些selinux相关信息 policycoreutils-gui SElinux的图形化管理工具 setroubleshoot：SELinux排错工具 与SELinux相关工具 sestatus -bv 查询selinux 状态 semodule –l 查看selinux加载的内核模块 案例1:了解安全环境 将一组文件转到网络服务器上,并要在SELinux框架下运行. 案例2:FTP服务器（允许本地用户） A Q Q U E S T I O N S A N S W E R S * /research/selinux/ /trac * * SEliunx目标策略只于第三个字段有关，即类型字段（TYPE）； 运行su 命令不会改变SELinux中的身份（identity） * semanage fcontext -a -t public_content_rw_t /var/ftp/incoming(/.*)??? * SELinux 基本配置工具包括 SELinux管理器（SELinux Management）和 SELinux排错工具（Setroubleshoot Browser） * * RHEL6__SELinux管理 轻舞飞扬 1.SELinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局（NAS）对于强制访问控制的实现，是 Linux上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。 SELinux provides a flexible Mandatory Access Control (MAC) system built into the Linux kernel. Under standard Linux Discretionary Access Control (DAC), an application or process running as a user (UID or SUID) has the user‘s permission