`

selinux管理与应用

阅读更多
1.1 SElinux概述
SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。
1.1.1 SElinux特点
1.MAC
对访问的控制彻底化,对所有的文件、目录、端口的访问都是基于策略设定的,可由管理员时行设定。
2.RBAC
对于用户只赋予最小权限。用户被划分成了一些role(角色),即使是root用户,如果不具有sysadm_r角色的话,也不是执行相关的管理。哪里role可以执行哪些domain,也是可以修改的。
3.安全上下文
当启动selinux的时候,所有文件与对象都有安全上下文。进程的安全上下文是域,安全上下文由用户:角色:类型表示。
(1)系统根据pam子系统中的pam_selinux.so模块设定登录者运行程序的安全上下文
(2)rpm包安装会根据rpm包内记录来生成安全上下文,
(3)如果是手工他建的,会根据policy中规定来设置安全上下文,
(4)如果是cp,会重新生成安全上下文。
(5)如果是mv,安全上下文不变。
1.1.2 安全上下文格式
安全上下文由user:role:type三部分组成,下面分别说明其作用:
1.user identity:类似linux系统中的UID,提供身份识别,安全上下文中的一部分。
三种常见的user:
user_u-:   普通用户登录系统后预设;
system_u-:开机过程中系统进程的预设;
root-:    root登录后预设;
在targeted policy中users不是很重要;
在strict policy中比较重要,的有预设的selinux users都以 "_u"结尾,root除外。
2.role
文件与目录的role,通常是object_r;
程序的role,通常是system_r;
用户的role,targeted policy为system_r;
strict policy为sysadm_r,staff_r,user_r
用户的role,类似于系统中的GID,不同的角色具备不同的权限;用户可以具备多个role;但是同一时间内只能使用一role;
role是RBAC的基础;
3.type
type:用来将主体与客体划分为不同的组,组每个主体和系统中的客体定义了一个类型;为进程运行提供最低的权限环境。
当一个类型与执行的进程关联时,该type也称为domain,也叫安全上下文。
域或安全上下文是一个进程允许操作的列表,决字一个进程可以对哪种类型进行操作。
1.1.3 SElinux配置文件
vi /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
#SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted
#SELINUX有「disabled」「permissive」,「enforcing」3种选择。
1.模式的设置
enforcing:强制模式,只要selinux不允许,就无法执行
permissive:警告模式,将该事件记录下来,依然允许执行
disabled:关闭selinux;停用,启用需要重启计算机。

2.策略的设置
targeted:保护常见的网络服务,是selinux的默认值;
stric:提供RBAC的policy,具备完整的保护功能,保护网络服务,一般指令及应用程序。
策略改变后,需要重新启动计算机。
也可以通过命令来修改相关的具体的策略值,也就是修改安全上下文,来提高策略的灵活性。

3.策略的位置
/etc/selinux/<策略名>/policy/

1.2 SElinux命令介绍
1.2.1 查询SElinux状态命令
1.查询selinux状态
[root@redhat ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted

2.查询selinux激活状态
[root@redhat ~]# selinuxenabled
[root@redhat ~]# echo $?
0
如果为-256为非激活状态。
1.2.2 切换SElinux类型
1.切换成警告模式
[root@redhat ~]# setenforce 0或setenforce permissive
[root@redhat ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted

[root@redhat ~]# getenforce
Permissive

2.切换成强制模式
[root@redhat ~]# setenforce 1
[root@redhat ~]# getenforce
Enforcing
注:使用setenforce切换enforcing与permissive模式不需要重启计算机。
1.2.3 检查安全上下文
1.检查帐号的安全上下文
[root@redhat ~]# id -Z
root:system_r:unconfined_t:SystemLow-SystemHigh

2.检查进程的安全上下文
[root@redhat home]# ps -Z
LABEL                             PID TTY          TIME CMD
root:system_r:unconfined_t:SystemLow-SystemHigh 2383 pts/0 00:00:00 bash
root:system_r:unconfined_t:SystemLow-SystemHigh 2536 pts/0 00:00:00 ps

3.检查文件与目录的安全上下文
[root@redhat home]# ls -Z
drwx------  tom  tom  system_u:object_r:user_home_dir_t tom
1.2.4 修改文件/目录安全上下文与策略
1.chcon命令
chcon -u [user]  对象
      -r [role]
      -t [type]
      -R 递归
示例:
chcon -R -t samba_share_t /tmp/abc
注:安全上下文的简单理解说明,受到selinux保护的进程只能访问标识为自己只够访问的安全上下文的文件与目录。
例如:上面解释为使用smb进程能够访问/tmp/abc目录而设定的安全上下文。

2.getsebool命令
获取本机selinux策略值,也称为bool值。
getsebool -a  命令同sestatus -b
[root@redhat files]# getsebool -a
NetworkManager_disable_trans --> off
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on
allow_daemons_use_tty --> off
allow_execheap --> off
allow_execmem --> on
allow_execmod --> off
allow_execstack --> on
allow_ftpd_anon_write --> off   /*是否允许ftp匿名访问*/
allow_ftpd_full_access --> off
...
httpd_disable_trans --> off    /*只要有disable_trans关闭保护*/

说明:selinux的设置一般通过两个部分完成的,一个是安全上下文,另一个是策略,策略值是对安全上下文的补充。

3.setsebool命令
setsebool -P allow_ftpd_anon_write=1
-P 是永久性设置,否则重启之后又恢复预设值。
示例:
[root@redhat files]# setsebool -P allow_ftpd_anon_write=1
[root@redhat files]# getsebool allow_ftpd_anon_write
allow_ftpd_anon_write --> on
说明:如果仅仅是安全上下文中设置了vsftpd进程对某一个目录的访问,配置文件中也允许可写,但是selinux中策略中不允许可写,仍然不可写。所以基于selinux保护的服务中,安全性要高于很多。

1.3 SElinux应用
selinux的设置分为两个部分,修改安全上下文以及策略,下面收集了一些应用的安全上下文,供配置时使用,对于策略的设置,应根据服务应用的特点来修改相应的策略值。
1.3.1 SElinux与samba
1.samba共享的文件必须用正确的selinux安全上下文标记。
chcon -R -t samba_share_t /tmp/abc
如果共享/home/abc,需要设置整个主目录的安全上下文。
chcon -R -r samba_share_t /home
2.修改策略(只对主目录的策略的修改)
setsebool -P samba_enable_home_dirs=1
setsebool -P allow_smbd_anon_write=1
getsebool 查看
samba_enable_home_dirs -->on
allow_smbd_anon_write --> on /*允许匿名访问并且可写*/

1.3.2 SElinux与nfs
selinux对nfs的限制好像不是很严格,默认状态下,不对nfs的安全上下文进行标记,而且在默认状态的策略下,nfs的目标策略允许nfs_export_all_ro
nfs_export_all_ro
nfs_export_all_rw值为0
所以说默认是允许访问的。
但是如果共享的是/home/abc的话,需要打开相关策略对home的访问。
setsebool -P use_nfs_home_dirs boolean 1
getsebool use_nfs_home_dirs

1.3.3 SElinux与ftp
1.如果ftp为匿名用户共享目录的话,应修改安全上下文。
chcon -R -t public_content_t /var/ftp
chcon -R -t public_content_rw_t /var/ftp/incoming

2.策略的设置
setsebool -P allow_ftpd_anon_write =1
getsebool allow_ftpd_anon_write
allow_ftpd_anon_write--> on

1.3.4 SElinux与http
apache的主目录如果修改为其它位置,selinux就会限制客户的访问。
1.修改安全上下文:
chcon -R -t httpd_sys_content_t /home/html
由于网页都需要进行匿名访问,所以要允许匿名访问。
2.修改策略:
setsebool -P allow_ftpd_anon_write = 1
setsebool -P allow_httpd_anon_write = 1
setsebool -P allow_<协议名>_anon_write = 1
关闭selinux对httpd的保护
httpd_disable_trans=0

1.3.5 SElinux与公共目录共享
如果ftp,samba,web都访问共享目录的话,该文件的安全上下文应为:
public_content_t
public_content_rw_t
其它各服务的策略的bool值,应根据具体情况做相应的修改。

1.3.6 SElinux配置总结
以上内容的selinux的配置实验还需要进行相关验证,以便在实际环境中能够直接应用,相关的内容还需要继续补充。
对于多于牛毛的策略,可以用过滤还查看一个服务相当开启哪些策略。

分享到:
评论

相关推荐

    SElinux管理及应用

    Linux 管理及应用详解 ...总的来说,理解和掌握SELinux的管理及应用,对于保障Linux系统的安全性至关重要。通过深入学习和实践,我们可以利用其强大的安全特性,有效地防止未知攻击,保护系统免受恶意行为的侵害。

    SELinux管理及应用

    ### SELinux管理及应用知识点详解 #### 一、SELinux简介 - **定义与起源**:SELinux(Security Enhanced Linux)是由美国国家安全局(National Security Agency, NSA)开发的一种安全增强型Linux系统。它构建在...

    selinux-example_SELinux_

    **四、SELinux的配置与管理** 1. **文件上下文**:每个文件都有一个安全上下文,可通过`ls -Z`查看。`setenforce`命令可切换SELinux运行模式,`restorecon`用于恢复文件的正确上下文。 2. **服务与进程**:在...

    SELinux详解-中文版.pdf

    《SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...

    SELinux System - 2nd Edition + SELinux 详解 SEAndroid基础

    与传统的SELinux相比,SEAndroid更关注于移动环境的特有挑战,如应用隔离和权限管理。在SEAndroid中,每个应用程序都有自己的安全上下文,并且只能访问其被授权的资源。这降低了恶意应用影响其他应用或操作系统核心...

    SElinux详解.pdf

    - **样例策略与参考策略**:为了帮助开发者和系统管理员更好地理解和应用SELinux,书中介绍了两种主要的策略开发方法:样例策略和参考策略。样例策略提供了基本的安全配置示例,而参考策略则展示了更为复杂的应用...

    selinux中文手册和详细解说

    9. **配置与管理**:指导如何在系统启动时设置SELinux状态,以及如何通过`sestatus`检查当前配置。 10. **案例研究**:可能包含针对特定场景的配置示例,如安全Web服务器或电子邮件服务器的设定。 通过阅读**...

    SELinux文档

    1. SELinux发展背景与安全概念 SELinux的发展背景涉及操作系统访问控制的历史和不同访问控制机制。早期的访问控制机制如Discretionary Access Control (DAC) 被发现存在安全隐患,例如,一个用户账户被破解可能会...

    SELinux详解.pdf

    SELinux(Security-Enhanced Linux)是一种安全模块,最初由美国国家安全局(NSA)...随着本书《SELinux详解》的指引,读者能够学习如何编写和管理SELinux安全策略,从而确保他们的Linux应用程序、系统和网络的安全性。

    SELinux For Android8.0 && SELinux 4.0

    `The_SELinux_Notebook-4th_Edition.pdf`很可能是一本详细阐述SELinux理论与实践的第四版指南,涵盖了SELinux的基础概念、配置、策略编写和调试方法。读者可以从中了解到如何设置和管理SELinux策略,理解其工作原理...

    超root安全selinux

    **三、SELinux的配置与管理** 1. **查看状态**:使用`sestatus`命令可以查看SELinux的状态、策略版本、当前运行的域等信息。 2. **文件上下文**:`ls -Z`显示文件的上下文,`chcon`用于改变文件上下文。 3. **...

    SELinux架构图.pdf

    配置文件包括/etc/selinux/config(SELinux配置)、/etc/selinux/semanage.conf(SELinux管理工具配置)、/etc/selinux/restorecond.conf(SELinux恢复上下文配置)等,这些文件用于设置SELinux的工作模式和策略。...

    Lock SELinux forced mode.zip

    1. **main** - 这可能是一个主要的配置脚本或程序,用于设置或管理SELinux的强制模式。它可能包含了启用、检查或调整SELinux策略的命令。 2. **module.prop** - 这可能是一个包含SELinux模块属性的文件,例如模块的...

    SeLinux安全模块实验报告

    实验要求涵盖SeLinux安全模块的加载、启用、配置及使用实践,特别强调了通过截图展示SeLinux四大特点的实际应用,同时需提交包含运行环境、版本信息、实验步骤、心得与困难的完整报告。 #### 实验原理详解 ##### ...

    selinux初始化流程

    内核会加载必要的模块,包括`selinuxfs`文件系统,它提供了一个接口来与用户空间的SELinux工具交互。 二、初始策略加载 在系统启动过程中,内核会查找并加载配置文件`/etc/selinux/config`。这个文件定义了当前的...

Global site tag (gtag.js) - Google Analytics