SElinux简介

本文主要介绍:SELinux概念、配置SELinux、管理文件安全标签、管理端口标签、管理SELinux布尔值开关、管理日志、查看SELinux帮助以及SElinux操作示例(迁移httpd服务默认目录)

一、SELinux概念

1、SELinux介绍:

与安全相关,早期无selinux,系统安全性由管理员控制,后美国国家安全局与SCC合作开发出selinux,2000年linux内核2.6版本后集成在内核中(编译内核时可禁用)。

selinux 是一些安全规则的集合,可形象比喻为社会中的法律,早期无法律时由最高地位者掌权;现在法律健全,人人受法律约束,不可行违法之事。

DAC:Discretionary Access Control自由访问控制  (早期)

MAC:Mandatory Access Control 强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源(文件和端口)

默认情况下,没有被明确允许的行为将被拒绝  (导致工作中常被禁用)

 

2、SELinux有四种工作类型:

Strict : centos5,每个进程都受到selinux的控制

Targeted : 用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程,centos4只保护13个服务,centos5保护88个服务

minimum:centos7,修改的targeted,只对选择的网络服务

mls:提供MLS(多级安全)机制的安全性

注:targeted为默认类型,minimum和mls稳定性不足,未加以应用,strict已不再使用

 

3、SELinux安全上下文:

传统Linux,一切皆文件,由用户,组,权限控制访问

在SELinux中,一切皆对象(object),由存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签:安全上下文(security context)

安全上下文有五个元素组成:user:role:type:sensitivity:category

(用户:角色:类型:敏感度:种类)

例如:user_u:object_r:tmp_t:s0:c0

实际上下文:存放在文件系统中,ls –Z    ;   ps –Z

期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中(semanage fcontext –l  查看默认上下文)

 

4、五个安全元素

User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程

Role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r

Type:较常使用,指定数据类型,规则中定义何种进程类型访问何种文件,Target策略基于type实现,多服务共用:public_content_t  如果类别不对,则系统无法正常访问文件

Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0

Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy, c0-c1023共1024个分类, Target 策略不使用category

 

5、SELinux策略

  • 对象(object):所有可以读取的对象,包括文件、目录和进程,端口等 —-type标签
  • 主体(subject):进程称为主体   —-domain标签
  • SELinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义

当一个subject试图访问一个object,Kernel中的策略执行服务器将检查AVC (访问矢量缓存Access Vector Cache), 在AVC中,subject和object的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问

  • 安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的,并且定义了哪种行为是充许或拒绝

 

二、配置SELinux

  • 配置SELinux:

SELinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

SELinux的日志管理

  • SELinux的状态

enforcing: 强制,每个受限的进程都必然受限

permissive: 允许,每个受限的进程违规操作不会被禁止,但会被记录于审计日志

disabled: 禁用

 

  • 相关命令:

getenforce             获取selinux当前状态

sestatus                 查看selinux状态   (详细信息)

setenforce 0|1     临时禁用|启用selinux  但是在SELinux是disable状态下无效

0: 设置为permissive    算是临时禁用(只警告并不阻止)

1: 设置为enforcing   临时启用selinux

 

  • 配置文件:

1、/boot/grub/grub.conf  使用selinux=0禁用SELinux  

2、/etc/sysconfig/selinux    ->  /etc/selinux/config     若原本SELinux状态是disabled,要改成别的状态,重启生效

(/boot/grub/grub.conf优先级高于/etc/selinux/config)

 

三、管理文件安全标签

 

1、修改SELinux安全标签

  • 给文件重新打安全标签:

chcon [OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE…

chcon [OPTION]… –reference=RFILE FILE…

-R:递归打标;

  • 恢复目录或文件默认的安全上下文:

restorecon [-R] /path/to/somewhere

前提:要求数据库中(semanage fcontext -l)曾经记录过此文件标签,用户创建的文件夹不在数据库;-R递归

 

补充:1、修改目录的标签,则文件夹下新建文件会继承目录标签

2、logger “this is a test log” 生成一条消息记录在日志中/var/log/messages,常测试用

 

2、默认安全上下文(数据库)查询与修改

Semanage     (来自policycoreutils-python包)

查看默认的安全上下文        semanage fcontext -l

添加安全上下文         semanage fcontext -a –t httpd_sys_content_t ‘/testdir(/.*)?’     正则表达式,表示目录以及目录下文件都打标签

                                      restorecon –Rv /testdir  

删除安全上下文         semanage fcontext -d –t httpd_sys_content_t ‘/testdir(/.*)?’

                 

四、管理端口标签

 

查看端口标签

   semanage port -l  

添加端口并指定标签    

   semanage port -a -t port_label -p tcp|udp PORT

例:semanage port -a -t http_port_t -p tcp 9527

删除端口

   semanage port -d -t port_label -p tcp|udp PORT   

例:semanage port -d -t http_port_t -p tcp 9527

修改现有端口为新标签

   semanage port -m -t port_label -p tcp|udp PORT   

例:semanage port -m -t http_port_t -p tcp 9527

 

五、管理SELinux布尔值开关

 

布尔型规则:

getsebool

setsebool

查看bool命令:

getsebool [-a] [boolean]

semanage boolean –l

semanage boolean -l –C 查看修改过的布尔值

设置bool值命令:

setsebool [-P] boolean value(on,off) -P选项 立即生效且同步内存和磁盘

setsebool [-P] Boolean=value(0,1)

 

六、管理日志

将错误的信息写入/var/log/message

yum install setroubleshoot(重启生效)

查看安全事件日志说明

grep setroubleshoot /var/log/messages

sealert -l UUID   列出具体内容

扫描并分析日志

sealert -a /var/log/audit/audit.log

 

七、查看SELinux帮助

yum –y install selinux-policy-devel ( centos7.2)

yum –y install selinux-policy-doc  (centos7.3/7.4及之后)

mandb | makewhatis

man -k _selinux

八、SElinux操作示例(迁移httpd服务默认目录)

  • 将httpd默认目录/var/www/html迁移至/data/html

1、mkdir /data/html;

2、vim /etc/httpd/conf/httpd.conf   修改httpd服务配置文件中的默认目录路径,具体如下图:

aa

3、更改/data/html的type标签(参考/var/www/html的type标签)或者直接修改默认安全上下文数据库:

semanage fcontext -l |grep /var/www           查看/var/www的type标签,如下图:

bbb

chcon -R -t httpd_sys_content_t /data/html       更改/data/html的type标签

  • 或者直接修改默认安全上下文数据库:

semanage fcontext -a  -t  httpd_sys_content_t   /data/html(/.*)?

restorecon -R /data/html     恢复/data/html 的默认安全上下文

 

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/98702

(2)
上一篇 2018-05-16 22:39
下一篇 2018-05-17 14:39

相关推荐

  • centOS6.9 防火墙的关闭以及开启

    有的时候,我们需要对系统的防火墙进行操作,今天小编就给大家讲解一下如何开启以及关闭CentOS6.9系统下的防火墙。 输入:cat /etc/issue 查看版本 (一)通过service命令 service命令开启以及关闭防火墙为即时生效,下次重启机器的时候会自动复原。 查看防火墙状态:service iptables status ,记得在CentOS6…

    Linux笔记 2018-04-20
  • Linux运维之路-第一篇(1-3)

    1、描述计算机的组成及其功能。现在的计算机组成体系被称为冯洛伊曼体系,其主要的组件有:控制器,运算器,存储器,输入设备以及输入设备。控制器控制器是整个计算机的中枢神经,其功能是对程序规定的控制信息进行解释,根据其要求进行控制,调度程序、数据、地址,协调计算机各部分工作及内存与外设的访问等。主要是负责指挥协调计算机系统操作。 运算器运算器的功能是对数据进行各种…

    Linux笔记 2018-08-18
  • N31-第二周作业—文件的管理

    1、Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示。
    2、bash的工作特性之命令执行状态返回值和命令行展开所涉及的内容及其示例演示。
    3、请使用命令行展开功能来完成以下练习:
    (1)、创建/tmp目录下的:a_c, a_d, b_c, b_d
    (2)、创建/tmp/mylinux目录下的:
    mylinux/
    ├── bin
    ├── boot
    │   └── grub
    ├── dev
    ├── etc
    │   ├── rc.d
    │   │   └── init.d
    │   └── sysconfig
    │   └── network-scripts
    ├── lib
    │   └── modules
    ├── lib64
    ├── proc
    ├── sbin
    ├── sys
    ├── tmp
    ├── usr
    │   └── local
    │   ├── bin
    │   └── sbin
    └── var
    ├── lock
    ├── log
    └── run
    4、文件的元数据信息有哪些,分别表示什么含义,如何查看?如何修改文件的时间戳信息。
    5、如何定义一个命令的别名,如何在命令中引用另一个命令的执行结果?
    6、显示/var目录下所有以l开头,以一个小写字母结尾,且中间至少出现一位数字(可以有其它字符)的文件或目录。
    7、显示/etc目录下,以任意一个数字开头,且以非数字结尾的文件或目录。
    8、显示/etc目录下,以非字母开头,后面跟了一个字母以及其它任意长度任意字符的文件或目录。
    9、在/tmp目录下创建以tfile开头,后跟当前日期和时间的文件,文件名形如:tfile-2016-05-27-09-32-22。
    10、复制/etc目录下所有以p开头,以非数字结尾的文件或目录到/tmp/mytest1目录中。
    11、复制/etc目录下所有以.d结尾的文件或目录至/tmp/mytest2目录中。
    12、复制/etc/目录下所有以l或m或n开头,以.conf结尾的文件至/tmp/mytest3目录中。

    2018-07-05
  • 交换分区swap管理及特殊介质的使用

    本节索引 一、交换分区swap管理 二、Linux系统光盘使用 三、Linux系统USB介质使用 四、强大的dd工具 一、交换分区swap管理: 交换分区是系统RAM的补充,相当于Windows系统中的虚拟内存,当系统RAM不够用的时候将使用交换 分区来代替内存使用。 基本设置包括: 创建交换分区或者文件 使用mkswap写入特殊签名 在/etc/fstab…

    2018-04-25
  • Linux文件管理总结和文件元数据

    Linux文件系统;目录结构;bash特性;文件的元数据

    2018-07-09
  • 如何制作LINUX服务脚本

    如何制作一个Linux启动服务          Linux在启动的时候都会跑很多系统自带的服务脚本,来控制系统服务的开启和关闭。这些服务是系统自带的,我们可以查看这些服务及其对应的脚本(ls /etc/init.d/)。这些服务有独立服务,也有依赖服务,依赖服务有被依赖服务和依赖别的服务。今天我们就来看看怎么来制作一个系统独立服务,方便我们以后需要自己手动…

    2018-05-10