Selinux:强制访问控制的安全模块,linux内核2.6版本后集成在内核中。
selinux的四种工作类型:
strict:centos5中,每隔进程都受到selinux的控制,策略认识就允许,不认识就拒绝。
targeted:用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程,rhel4只保护13个服务,rhel保护88个服务,系统默认该模式。
minimum:centos7,修改过的targeted,只对选择的网络服务
mls:提供MLS(多级安全)机制的安全性
注意:minimum和mls稳定性不足,未加以应用
selinux 不同策略及违反策略后的动作:
root@cenots6.8 ~ # cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. ###违反策略就拒绝 # permissive - SELinux prints warnings instead of enforcing. ###违反策略就警告 # disabled - No SELinux policy is loaded. ###违反策略不做处理 SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted ###默认工作类型
setenforce 0 将当前模式由 enforcing 由切换到permissive,临时更改,更改后文件里面还是默认值enforcing(该命令不能切换到disable,如需更改需要修改配置文件,然后重启),setenforce 1切换成enforcing。
root@cenots6.8 ~ # setenforce 0 root@cenots6.8 ~ # sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: enforcing Policy version: 24 Policy from config file: targeted
selinux的启用与禁用:
禁用方法1、将/etc/selinux/config 文件中的SELINUX=enforcing状态改为disable,重启。
禁用方法2、在/boot/grub/grub.cof 文件中在内核参数处添加,selinux=0,重启
注意:在这两个文件中,只要有一个禁用就禁用。
查看当正在生效的策略:getenforce
root@cenots6.8 ~ # getenforce Enforcing
查看当前策略设置的详细信息:sestatus
root@cenots6.8 ~ # sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing ###当前生效的 Mode from config file: enforcing ###/etc/selinux/config文件中的设置状态 Policy version: 24 Policy from config file: targeted ###工作类型
selinux安全上下文:
传统linux中,一切皆文件,由用户,组,权限控制访问。
在selinux中,一切皆对象(object),由存放在inode的扩展属性域的安全元素所控制其访问。
所有文件和端口资源的进程都具备安全标签,安全上下文(security context)
查看安全上下文信息:ls -Z;ps -Z
期望(默认)上下文:存放在二进制的Selinux策略库中
semanage fcontext -l
安全上下文有五个元素组成:
user:role:type:sensitivty:category
user_u:object_r:tmp_t:s0:c0
五元素详解:
user:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程。
role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r
type:指定数据类型,规则中定义何种进程类型访问何种文件,Target策略基于type实现。
多服务公用:public_content_t
Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret,一个对象有且只有一个sensitivity,分0-15级,s0最低,target策略默认使用s0.
category:对于特定的组织划分不分层的分类,一个对象可以有多个categroy,c0-c1023共1024个分类,target策略不使用category。
-rwxr-xr-x. root root system_u:object_r:admin_home_t:s0 install.log.syslog -rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 ks.cfg drwxr-xr-x. root root system_u:object_r:admin_home_t:s0 公共的
selinux策略
对象(object):所有可以读取的对象,包括文件,目录和进程,端口等。
主体:进程成为主体(subject)
selinux中的所有的文件都赋予了一个type的文件类型的标签,对于所有的进程也赋予各自的一个domain的标签,domain标签能够执行的操作由安全策略里定义。
当一个subject试图访问一个object, Kernel中的策略执行服务器将检查AVC (访问矢量缓存Access Vector Cache), 在AVC中, subject和object的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问。
安全策略:定义主机读取对象的规则数据库,规则中记录了哪个类型的主机使用哪个方法读取哪一个对象是允许还是拒绝的,并且定义了哪种行为是允许或拒绝。
举例:
1、 A主机开启http服务,在/var/html/index.html该网页其他主机可以正常访问,现在将index
。html,做如下操作:a、cp index.html /root
b、mv /root/index.html ./
此时,其他主机就不能正常访问了。
原因:标签发生变化导致,服务被拒绝。
root@centos7.2 /var/www/html # ll -Z -rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 index.html -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index2.html root@centos7.2 ~ # semanage fcontext -l |grep "/var/www" /var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0 /var/www(/.*)?/logs(/.*)? all files system_u:object_r:httpd_log_t:s0
注意:拷贝到哪里就会继承其父目录的标签,mv移动会保留原父目录的标签,所以,第二步cp就不会出现该问题了。
2、 此时系统任务http服务放在/var/www/html目录中,如果想改成/website 目录中,则首先要修改vim /etc/httpd/conf/httpd.conf,Document Root "/var/www/html" 改成/website ,重启服务,由于/website是我们自己创建的,在策略数据库中是查不到的,因此需要 chcon –reference /var/www/html/ /website (不能使用restorecon,因为数据库中没有,加到数据库中才可以使用),重启服务就可以访问了。
如何查看文件或端口录原有的标签是什么呢?—— semanage fcontex | port -l(数据库中查找)
如果文件的标签发生变化,如何恢复为默认值呢?—–restorecon fileName (通过查找semanage数据库恢复默认的标签 )
—–restorecon -R dirName 恢复目录及其里面所有文件的默认标签
知道标签名,如何手动修改?———— chcon -t default_t fileName
参考前面文件的标签进行修改——————chcon -R –reference dirName1 dirName2
策略数据库中添加或删除文件或目录————semange fcontext -a -t http_sys_content_t "/website(/.*)?"
——semange fcontext -d -t http_sys_content_t "/website(/.*)?"
——(/.*)?—-指该目录下的任意文件或目录
策略数据库中添加端口号————-semanage port -a -t http_prot -p tcp 8888 将8888加入到策略数据库中
修改策略数据库中的端口号给别的端口–semanage prot -m -t ssh_prot_t -p tcp 8888 将原来的http的8888端口号给ssh
selinux布尔值
有些服务或行为系统认为是危险的就拒绝,比如ftp上传默认是不允许的,下载是可以的,这些行为就是由bool值控制的
查看bool值命令:getsebool -a 、semanage boolean -l 、
root@centos7.2 ~ # getsebool -a | grep ftp ftp_home_dir --> off ftpd_anon_write --> off ###ftp上传权限被拒绝 ftpd_connect_all_unreserved --> off ftpd_connect_db --> off ftpd_full_access --> off ftpd_use_cifs --> off
root@centos7.2 ~ # semanage boolean -l | grep ftp SELinux 布尔值 状态 默认 描述 sftpd_enable_homedirs (关 , 关) Allow sftpd to enable homedirs httpd_can_connect_ftp (关 , 关) Allow httpd to can connect ftp ftpd_use_passive_mode (关 , 关) Allow ftpd to use passive mode ftpd_use_nfs (关 , 关) Allow ftpd to use nfs ftpd_connect_all_unreserved (关 , 关) Allow ftpd to connect all unreserved sftpd_full_access (关 , 关) Allow sftpd to full access ftpd_anon_write (关 , 关) Allow ftpd to anon write 状态:当前状态 默认:值文件中的设置
设置selinux布尔值:
setsebool httpd_can_network_relay =1 设置httpd_can_network_relay 状态为1(临时生效)
setsebool -P httpd_can_network_relay on|off 设置httpd_can_network_relay 状态和默认值都为1(永久有效)
semanage boolean -l -C 查看改过的boolean值
原创文章,作者:Naruto,如若转载,请注明出处:http://www.178linux.com/47359
