保障系统安全——学会SELinux的安装方法 (selinux的安装)

随着计算机应用的不断扩展，信息安全问题也变得越来越重要。而在保障系统安全的过程中，安全型Linux（Secure Linux，SELinux）是一种非常重要的工具。它是一种为Linux操作系统提供访问控制的安全增强工具，可以大大提高Linux系统的安全性。本文将介绍如何学会SELinux的安装方法，让读者全面了解这一重要的安全工具。

一、了解SELinux的基础知识

在学习SELinux的安装方法之前，读者需要了解一些SELinux的基础知识。SELinux是一种基于强制访问控制（Mandatory Access Control，MAC）的安全系统，它可以限制进程的行为，并在其中添加强制访问规则。可以说，SELinux实现了所有进程必须按照一组事先设定的规则来执行，这些规则通常称为“策略”。因此，在使用SELinux之前，需要明确各个进程需要访问的资源和操作，从而根据需要创建和配置策略。

二、SELinux的安装方法

为了使用SELinux，读者需要先安装它。通常情况下，安装SELinux的方法与安装其他软件包类似，但有一些注意事项：

1. 系统需求

SELinux需要Linux操作系统的特定版本才能正常工作。不同版本的Linux操作系统可能需要不同的SELinux版本，因此读者需要确认他们的Linux操作系统的版本。

2. 配置必备组件

在开始安装SELinux之前，需要安装一些必要的组件，这些组件包括“policycoreutils”、“selinux-policy”和“selinux-policy-devel”等。其中，“policycoreutils”是SELinux的默认工具包之一，包括一些有用的命令行工具；“selinux-policy”和“selinux-policy-devel”是SELinux安全策略中的默认模块和开发程序包。

安装方法如下：

$ sudo yum update

$ sudo yum install policycoreutils selinux-policy selinux-policy-devel

3. 配置引导程序

为了使SELinux正常工作，需要配置Linux的引导程序，以便在引导时使用正确的SELinux策略。在操作系统的引导程序中，如何配置SELinux与引导程序的类型和版本密切相关。要使SELinux正常工作，通常需要在引导程序的配置文件中添加一些配置行。

三、设置SELinux策略

在安装SELinux之后，还需要设置策略。这可以通过一些命令行工具来完成。

1. 开启SELinux

在开始使用SELinux之前，需要确保系统已经开启SELinux。可以通过以下命令来检查SELinux是否启用：

$ sestatus

如果打印输出的信息中“SELinux status”列的值为“enabled”，则表示已经启用SELinux。如果未启用，则需要将SELinux启用。

2. 修改SELinux策略

SELinux提供了许多命令行工具和选项，可以让管理员修改系统的SELinux策略。如果您不知道如何修改SELinux策略，请阅读SElinux文档，或使用 SELinux 公共策略，这些策略已经被 SELinux 专家审查过并被广泛应用。

3. SELinux规则集

在使用SELinux时，需要了解以下三种规则集：

文件上下文：SELinux利用文件上下文来确定文件的访问策略。文件上下文通常由4个部分组成：服务、类型、相关性和标签。

Port上下文：.Port上下文类似于文件上下文，但是用于指定进程的网络端口。

进程上下文：进程上下文控制进程的SELinux策略。这些上下文通常由安全标签和执行文件类型组成。

四、SELinux的使用技巧

除了了解SELinux的基本概念和安装方法之外，还需要掌握一些使用技巧来加强SELinux。

1. 定期更新策略

安全性策略是确保SELinux正常工作的关键。考虑到某些策略有可能发生变化，不时更新安全策略可以帮助防止系统漏洞。

2. 设置恢复模式

有时候，管理员可能会需要修改SELinux策略——这可能会导致系统无法正常工作。如果出现这种情况，可以将SELinux设置为恢复模式，以便它不会阻止系统的正常操作。可以使用以下命令来设置SELinux为恢复模式：

$ setenforce 0

3. 禁用SELinux

虽然SELinux可以帮助系统提高安全性，但它有时也会造成一些不必要的麻烦。如果您遇到严重的SELinux问题，您可以禁用它。可以通过以下命令来禁用SELinux：

$ setenforce 0

$ sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config

本文介绍了SELinux的基础知识和安装方法，以及如何设置策略并掌握使用技巧。在信息安全问题日益严重的今天，保障系统安全已成为必须的任务之一。借助SELinux这一强大的安全工具，管理员可以更好地保护系统安全，避免遭受未知漏洞或攻击。

相关问题拓展阅读：

• Linux主机安装网站系统时目录写入权限已经设置为777为什么还显示不可写呢？
• linux下如何安装vsftp组件？

Linux主机安装网站系统时目录写入权限已经设置为777为什么还显示不可写呢？

selinux问题，vi /etc/sysconfig/selinux，困埋把SELINUX=enforcing 或者樱激直接setenforce 0关脊尺袜闭selinux.

虚拟机安装linux系统，所有权限都是777的情况下任然无法访问，这个问题卡了我两天，最后尝试了以下这个方法，终于解决了。

解决：关闭SELinux

关闭SELinux的方法：

1. 临时关闭： 使用命令setenforce 0

2. 永久关闭： 修腊扮改/etc/selinux/config文件中设置SELINUX=disabled ，然后重启服务器。

相关信息：

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。

对访问的控制彻底化MAC(Mandatory Access Control）

对于所有的文件，目录，端口这类的资源的访问，都可以是基于策略设定的，这些策略是由管理员定制的、一般用户是没有权限更改的。

TE （Type Enforcement）– 对于进程只赋予最小的权限

Te概念在 SELinux里非常的重要。它的特点是对所有的文件都赋予一个叫type的文件类型标签，对于所有的进程搏世也赋予各自的一个叫 domain的 标签。Domain标签能够执行的操作也是基局肢由access vector在策略里定好的。

domain迁移 –防止权限升级

对于用户只赋予最小的权限

把 selinux 关掉，再试试。

看你的服务器开没开 register_globals 全局变纳漏量，你可以查看洞察烂一下register_globals 是否为on，如果为off那么你就得联没誉系服务器给开开此变量了.

你的用户身份权限够么？

linux下如何安装vsftp组件？

方法/步骤

下载VSFTPD

Linux下传统的安装软件方法是下载tar.gz安装包，或者RPM安装包，再经过解压之后进行高族旅编译，或者用RPM -i命令安装。过程比较繁琐，其实还有个更为简捷的方法就是使用yum命令在线安装，支持几乎所有常见的软件，它的好处是读取多个镜像服务器列表中的最新版本，一切傻瓜化操作。

yum命令的好处已经体现出来，当输入完安装命令之后，首先从服务器读取资源，然后选择安装包，最后由用户决定是否安装，这里我们按y确认安装。当出现“Complete!”时意味着安装完成。

值得注意的是，在Linux中，系统对于大小写严格区分，比如abc和ABC是完全不相同的字符，要特别注意。

配置Vsftpd

安装完之后我们要对它进行配置，才能正常使用。编辑vsftpd的穗盯配置文件vi /etc/vsftpd/vsftpd.conf

vi编辑器中的搜索使命是斜杠“/”，然后输入要查找的内容，回车确定。以下是要更改的选项

anonymous_enable=NO #禁止匿名访问

ascii_upload_enable #允许使用ascii码上传

ascii_download_enable #允许使用ascii码下载

userlist_deny=NO #（这条需手动添加到最后）使用FTP用户表，表里没有的用户需要添加才能登录

设置完毕之后，ESC，冒号wq回车。启动vsftpd服务/etc/init.d/vsftpd start，看到即为启动成功。

只启动完还不行，还要给它添加开机自动启动，chkconfig vsftpd on

添加启动是没有任何提示的，如果不确定是否已经加入了开机启动项可以运行chkconfig –list进行查看。

安装和配置完之后要对它添加用户才能使用，这里以添加用户baidu为例。useradd baidu回车，然后为baidu这个用户添加密码passwd baidu，会提示输入两次密码。然后我们将baidu这个用户加入到FTP用户表里。vi /etc/vsftpd/user_list，将里面其它初始用户全部删除，加入刚刚我们新建的baidu用户。

linux关闭selinux

然后reboot重启Linux服务戚凳器。

本人使用FlashFXP客户端软件连接，直到出现用户主目录（一般位于/home/用户名），则vsftpd成功安装并运行。然后就能进行文件的上传和下载了。

在linux下安装vsftp组件按照如下步骤，即可安装成功

安装vsftpd组件

安装完后，有/etc/vsftpd/vsftpd.conf文件，是vsftp的配置文件。

# yum -y install vsftpd

2.添加一个ftp用户

此用户就是用来登录ftp服务器用的。

# useradd ftpuser

这样一个用户建完，可以用这个登录，记得用普通登录不要用匿名了。登录后默认的路径为 /home/ftpuser.     

3.给ftp用户添加密码

# passwd ftpuser

输入橘桐两次密码后修改密码。

4.防火墙开启21端口

因为ftp默认的端口为21，而centos默认是没有开启的，所以要修改iptables文件

# vim /etc/sysconfig/iptables

在行上面有22 -jACCEPT 下面另起一行输入跟那行差不多的，只是把22换成21，然后：wq保存。

还要运行下,重启iptables

# service iptables restart

5.修改selinux

selinux:linux下的安全组件，对系统操作做安全控制。修改安全策略

外网是可以访问上去了，可是发现没法返回目录（使用ftp的主动模式，被动模式还是无法访问），也上传不了，因为selinux作怪了。

修改selinux：

执行以下命令查看岩团状态：

# getsebool -a | grepftp 

allow_ftpd_anon_write –> off

allow_ftpd_full_access –> off –不能ftptd

allow_ftpd_use_cifs –> off

allow_ftpd_use_nfs –> off

ftp_home_dir –> off–不能访问目录

ftpd_connect_db –> off

ftpd_use_passive_mode –> off

httpd_enable_ftp_server –> off

tftp_anon_write –> off

#

执行上面命令，再返粗伍橘回的结果看到两行都是off，代表，没有开启外网的访问

#setsebool -P allow_ftpd_full_access on

#setsebool -P ftp_home_dir on

6.关闭匿名访问

已经创建ftp用户和密码，使用用户名和密码登陆，所以关闭匿名登陆

修改/etc/vsftpd/vsftpd.conf文件：

重启ftp服务：

# service vsftpd restart

selinux的安装的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于selinux的安装,保障系统安全——学会SELinux的安装方法,Linux主机安装网站系统时目录写入权限已经设置为777为什么还显示不可写呢？,linux下如何安装vsftp组件？的信息别忘了在本站进行查找喔。