### 1.对文件的影响
#我们这里以selinux对ftp服务的影响来说明问题
第一步:我们检查ftp服务的运行状态:
防火墙也开启了ftp服务:
selinux功能也是开启的:
第二步:我们在/mnt目录下建立一个 file_test文件,然后将其移动到ftp服务匿名用户登陆的目录下:
第三步:现在用匿名用户登陆去查看该测试文件,发现我们刚才移动到该目录下的测试文件不见了:
而该文件确定无疑就在/var/ftp/pub 目录下:
现在为了证明这是因为selinux功能开启的原因,我们关掉selinux功能,编辑配置文件 /etc/sysconfig/selinux ,将第7行的enforcing改为disabled:
然后重启电脑。为什么重启电脑?因为该配置信息是被内核记录的,只有重启后配置才会生效:
现在我们重复上面的步骤,然后观察现象,发现又能看见移动进去的文件了:
# 这是什么原因呢?没错就是因为selinux的影响。 那selinux是通过什么影响了在ftp服务中匿名用户不能查看到该测试文件呢?
下面我们用 ls -Z 这个命令来查看一下从/mnt目录移动到/var/ftp/pub目录下的file_test这个文件的另外一些属性信息:
结果是在关闭selinux之前建立的文件file_test出现了一个奇怪的属性,其时这就是selinux开启的情况下,在创建file_test时selinux给文件打上的标签。现在我们继续修改配置文件/etc/sysconfig/selinux 使selinux处于开启状态,记得修改完成后重启电脑:
# 其实selinux 有三种状态,分别如下:
enforcing:意思是你违反了策略,你就无法继续操作下去。
permissive:就是Selinux功能还是有效的,但是即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。在我们开发策略的时候非常的有用。
disabled:关闭selinux的策略。
在permissive状态和enforcing状态切换时直接使用 setenforce 0/1,1代表enforcing状态, 0代表permissive状态。
我们现在再观察 /var/ftp/pub目录下的文件的属性:
这下两个文件的标签都有了,但是好像都不是之前的标签了,为了做对比,作者将上面截的图拉先来
很明显标签发生了变化。这是为什么呢? 就拿file_test这个文件来说,它第一次在/mnt目录下被建立时,給它打上什么标签取决于/mnt这个目录本身的标签,如下图是/mnt目录本身的标签:
而之后我们就把file_test这个文件移动到了/var/ftp/pub这个目录下,而之后我们又进行了一次重启电脑,这时内核的selinux功能监测到file_test在/var/ftp/pub目录下,所以就将其标签改为了pub这个目录的标签,我们可以看一下pub这个目录的标签,看是不是和现在这两个文件的标签吻合:
结果证明是相吻合的。
### 3.针对selinux对文件的影响所造成问题的解决策略
# 通过上面的实验我们应该很明确造成这一问题的原因就是文件标签不同,所以解决的办法就是修改标签。
在进行下面的试验时我们事先清除掉之前新建的文件。
修改标签有两种方法:
1. 暂至修改:
使用命令 chcon -t public_content_t /mnt/file_test1 #### 意思是修改file_test1文件的标签为public_content_t ,
暂时修改的特点是:虽然对文件的标签进行了修改,但对于内核来说只是知道有过这个动作,而没有记录该动作。
然后我们进行测试:
发现标签只要能配对,匿名用户登陆时就能看见之前移动到该目录下的文件。
注意!!!这里的标签能配对不一定指标签要一样,而指的是按照selinux的标准哪些标签能配对,哪些文件就能够被识别。
比如下面的例子,
很明显它和pub这个目录的标签是不同的,我们也不对其进行标签修改,但当我们用匿名户用登陆ftp服务后,也能看见测试文件:
2. 永久修改标签:
第一步:使用命令 semanage fcontext -a -t public_content_t '/245room(/.*)?' #### 意思是将/245room这个目录或者文件标签修改为 public_content_t 的消息通知内核进行记录。 但该记录和文件还未建立联系,即文件的标签还未被修改。
# 博主这里建立的245room是个目录。
可以用命令 semanage fcontext -l | grep /245room 来查看内核的记录:
第二步: 使用命令 restorecon -RvvF /245room 来通知系统内核对该目录的标签的记录并修改。 ### R表示修改是有传递性的,两个v代表通知过程中显示在该目录下子文件的修改标签信息,F的意思是强制设置目录子文件和目录的属性一致。
然后再看文件的标签,这时已经修改过来了:
##对程序的影响简单来说,就是给程序加了一个开关,开关有两个状态:0、1,0表示开关关闭,1表示开关开启,默认为0。
之前我们做ftp试验时,在关闭selinux的前提下,若用本地用户登陆ftp服务器,登陆后可执行删除、上传、下载、建目录等操作,我们现在在开启selinux的情形下,看看还能不能执行这些操作:
显然都失败了。。
我们用命令 getsebool -a | grep ftp 来看一下selinux对ftp服务的程序开关是怎样一个情况:
都处于关闭状态,一般默认开关都是处于关闭状态。
现在我们要时本地用户恢复原有的动作权限,只需开启相应的程序开关即可,这里我们应当开启上图的第一个程序的开关。
使用命令 setsebool -P ftp_home_dir 1 来开启开关 ######## 这里P是永久的意思
已经开启了该程序的开关,现在我们测试:
本地用户已经恢复了之前在关闭selinux状态下的权限动作!
下面举个例子来说明:
### 当在/mnt 目录下新建的文件移动到/var/ftp/pub下时,用匿名用户登陆不能看见该文件的排错思路:
首先 ,在/mnt目录下建立一个文件file_test,并将其移动到目录/var/ftp/pub下,然后用命令 > /var/log/mssages 清空日志 。
现在,用匿名用户登陆ftp服务器,产生相关日志:
然后查用命令 cat /var/log/messages 看日志信息,并找到相关日志:
并且还给出了解决的办法:
或者也可以查看日志 /var/log/audit/audit.log 来了解出现了什么问题。
