selinux

1.selinux

 

內核級增強型防火牆，配置文件子在 /etc/selinux/config  和 /etc/sysconfig/selinux。這兩個改哪一個都行。後者是個連接文件，連接到前者。

 

2.如何管理selinux級別

selinux開啓或者關閉）

vim /etc/sysconfig/selinux

selinux=disabled##關閉狀態

selinux=Enforcing##強制狀態

selinux=Permissive##警告狀態

 

getenforce##查看狀態

當selinux開啓時

setenforce 0|1##更改selinux運行級別

 

3.簡單改變文件的上下文

 

 

注意：cp 能根據目錄實時更新文件的上下文。而mv 會保留原來的上下文。若是上面的mv 換成 cp的話，lftp 就能看到file2了

上面 最重要的兩個命令是：ls -Z  /var/ftp/pub  這個-Z參數

chcon -t type file   也能夠用 restorecn filename

 

（1）若是另外指定ftp的發佈目錄爲/ftp

   須要在配置文件 /etc/vsftp/vsftp.conf 中加一行 anon_root = /ftp

 

 

這時你看不到/ftp下新建立的文件，可是把selinux設置爲permissive後就能看到了：

 

 

因此以前看不到file1-5的緣由是selinux 也就是上下文的緣由。

 

 

 

（2）臨時修改 /ftp下面的文件的上下文

  

修改以後，lftp就能夠看到

 

 

可是，刷新文件上下文時，文件的上下文又會變回原來的

 

 

因此臨時修改的不靠譜，須要永久改變

 

(3)永久改變目錄和文件的上下文

 semanage fcontext -l 是列出目前系統中全部的上下文。

 

格式要像下面這樣寫 ‘/ftp(/.*)?’ -t後面是具體的上下文格式，根據實際須要指定。-a 是添加的意思。

第二條命令時驗證是否成功，由於尚未刷新，因此看不到

 

 

刷新，使修改生效

 

 

接下來咱們不管是刷新仍是建立文件，咱們的修改也是生效的

 

 

 

4.匿名用戶對ftp用戶的寫

 （1）通常設置

  修給ftp配置文件，使匿名用戶能夠上傳，並把要上傳到的目錄的權限改爲777。把selinux 設爲警告狀態，這時候是能建立文件的

 

 

（2）把selinux處於強制狀態，這時候就不能上傳了。

 

（3）這時侯咱們的上下文時只讀的，咱們改爲讀寫的，可仍是不能上傳文件

 

 

 

 

（4）開啓服務的閥門

 

 

-P 是永久生效的意思

 

 

 

綜上所述：

發佈目錄權限改爲777 ——》配置/etc/vsftpd/vsftpd.conf 使anon_upload_enable=yes ——》chcon -t public_content_rw_t /ftp/westos ——》setsebool -P ftpd_anon_write on

 

5.圖形管理selinux

安裝軟件