自己控制文件安全上下文

翻译 2015年07月09日 20:21:24

我们已经知道进程按照特定的SELinux域来执行的,域被SELinux用来检查进程针对某一上下文的文件的权限。我们需要知道如何设置文件的上下文,知道如何让这可管理。由此以来,如果当出现因为错误的上下文而权限拒绝。我们需要纠正这个问题。

SELinux中的文件(目录)的上下文通过它的扩展属性来设置的,但是不得不手动为所有文件设置上下文,这需要包含所有可能的文件路径和相关的SELinux上下文的数据集合。所以这不太容易被管理,SELinux使用文件上下文定义,这需要依靠正则表达式

创建一个文件上下文定义/表达式

在审计日志的例子中,假设在/var/log/audit目录下的所有文件都是用于审计记录,这样的假设是比较有效的。所以我们可以说/var/log/audit/.*很好的匹配了拥有auditd_log_t类别的文件。虽然正确,但是剩下/var/log/audit自己还没被定义。

SELinux策略作者会怎么处理刚才那个例子呢,他们会使用正则表达式来匹配目录和它包含的内容:

/var/log/audit(/.*)?

接下来需要定义赋予什么样的上下文。在我们例子中,使用auditd_log_t类型。

SELinux管理工具会自动修改为完整的安全上下文 system_u:object_t:auditd_log_t(或者system_u:object_t:auditd_log_t:s0  –上下文结构和附加字段将在后面讨论):

/var/log/audit(/.*)?                      system_u:object_r:auditd_log_t

我们依然缺少了实用的类别。因为我们使用的表达式匹配了文件和目录,我们通常说所有类别适用。

/var/log/audit(/.*)?      all files      system_u:object_r:auditd_log_t

使用semanagefcontext,我们可以查询现有的SELinux文件上下文定义.

root #semanage fcontext -l | grepauditd_log_t
/var/log/audit(/.*)?     allfiles       system_u:object_r:auditd_log_t

所有文件上下文定义

semanage fcontext –l 命令将会显示SELinux策略作者提供的所有文件上下文定义。

记住SELinux策略作者提供了文件上下文的“数据库”很重要:如果你需要编写你自己的应用程序策略,你不得不按照策略相同的方法添加定义上下文。发型版--RHEL已加载的SELinux策略是所有应用程序完整的策略集合,RHEL并且对此进行支持,我们可以注意到这个列表相当巨大。这是因为所有策略已经加载,并且所有上下文定义也已加载。

注意  semanage使用/etc/selinux/*/contexts/files 下的文 件作为它的源。

 

发型版—Gentoo,只加载了系统适合的策略规则(当使用标准依赖结构安装附加应用程序时,附加策略规则被加载),这个列表依然很庞大但稍微好管理些。

semanage命令从保存在/etc/selinux下的文件来获取这些信息。不好的是,它不能显示应用到系统上完整的上下文和表达式。它只显示那些不是“自动产生”上下文部分,比如home目录的上下文。为了知道上下文应该是什么(根据SELinux配置文件),可以使用matchpathcon

user $/usr/sbin/matchpathcon/home/swift/.config
/home/swift/.config      staff_u:object_r:xdg_config_home_t

应用上下文到文件

文件拥有正确的上下文十分重要。

保证目标文件和目录拥有正确的SELinux上下文是让系统正常工作的基础。很多时候用户关闭SELinux原因就是SELinux禁止了某些访问,问题可能仅仅是他们的文件没有标示正确。

这里引入restorecon工具,它检查文件的上下文并与SELinux上下文定义的表达式进行对比。它使用了特别的对比算法确保(正则)表达式是最适合文件的,对比文件已经存在的上下文和应该有的上下文,如果不匹配,则修改文件的上下文。

映射算法核对表达式,过滤表达式来匹配文件。在这些表达式集合中,算法会:

1.        检查是否存在没有通配符的表达式(比如 /var/log/audit/audit\.log)

2.        如果没有,便寻找通配符离起始最远的表达式(比如/var/log/audit(/.*)?和/var/log/audit/.*,后者通配符离开始最远)

3.        如果多个表达式同样的距离,它会选择字符最多的一项(/var/log/audit(/.*)?和/var/log/audit(/.*)\.log,后者拥有更多的字符)

虽然还有一些更多的规则,但是以上的三点是解释的最简单的,99.9%的情况都是有效的。你也可以使用findcon工具来显示所有匹配的表达式,根据我们所说的,最后返回的值就是选择的那项(但是不确定的话,如果真正想确定,可以使用matchpathcon)。

user $findcon /etc/selinux/strict/contexts/files/file_contexts -p /var/cache/gorg/doc
/.*             system_u:object_r:default_t
/var/.*         system_u:object_r:var_t
/var/cache/gorg(/.*)?           system_u:object_r:gorg_cache_t

对于新文件或者目录,执行下restorecon

root#restorecon -v /var/log/audit/audit.log

没有输出是对的,它说明上下文开始就是正确的,以下试着递归执行:

root #restorecon-Rv /etc
restorecon reset/etc/resolv.conf.tail contextstaff_u:object_r:etc_t->staff_u:object_r:net_conf_t
restorecon reset /etc/dnsmasq.confcontext staff_u:object_r:etc_t->staff_u:object_r:dnsmasq_etc_t
restorecon reset /etc/csh.env contextstaff_u:object_r:etc_t->staff_u:object_r:etc_runtime_t

例子中,restorecon修改了三个文件的上下文。比如,dnsmasq.conf文件之前是etc_t类型,后来设置为dnsmasq_etc_t类型。

注意:并不是所有上下文都会被restorecon命令默认重置。有些类型被称为“定制类型”(customizable types),意思是系统的任何地方类型都可以被设置,因为固定路径很难被定义。restorecon将不会管这个,除非你使用-F选项。如果你想重置整个上下文(所有字段)而不是安全上下文类型(第三个字段),你需要指定-F选项。

 

设置上下文的其他方法

这有其他设置文件上下文的其他方法,但是他们存在不足…

一些发行版系统支持.autorelabel文件,它存放于root文件系统中。当我们按照如下操作,发行版将会在重启后,对所有文件执行restorecon

root #touch/.autorelabel
root #reboot

你需要查找你发行版的说明文档来确定是否支持以上情况。不过实际上,等待重启在很多情况下不是很实用。

另外一个方法是使用chcon。这个工具代表的意思就是修改上下文,允许你可以直接修改上下文,并且不需要从策略中查询SELinux上下文定义。不过这个命令的缺点是下次使用restorecon将会重置上下文为SELinux策略中的上下文定义。建议测试上下文类型的时候,使用chcon命令。

增加自己定义的规则

当着手于处理SELinux文件上下文的时候,需要自己设置上下文。这样做是因为使用了非标准的路径,或者说是路径依赖于一些东西,比如服务器名字什么等,当前策略策略处理得可能不敬人意。所以来学学自己设置上下文。

首先,你需要知道一个文件的上下文应该是什么。比如你配置audit守护进程在/srv/logs/audit记录日志而不是在/var/log/audit。默认SELinux将会这个目录应该为var_t上下文。

root #matchpathcon/srv/logs/audit
/srv/logs/auditsystem_u:object_r:var_t:s0

这样问题就会是,auditd_t域没有权限对var_t进行操作。我们可以使用sesearch查询当前加载的SELinux策略:

root #sesearch-s auditd_t -t var_t -SA
Found 9 semantic av rules:
   allow auditd_t file_type : filesystemgetattr ;
   allow domain var_t : file { read getattr} ;
   allow daemon var_t : dir { getattrsearch open } ;
   allow domain var_t : dir { getattrsearch open } ;
   allow domain var_t : sock_file { readwrite getattr } ;
   allow auditd_t var_t : dir { getattrsearch open } ;

注意:上面的例子中,注意到不仅显示了要求的域(auditd_t)的allow语句,同时显示了其他的域,比如domain和daemon。这是因为SELinux支持属性(attributes或者标签(labels))的概念。例如,用于进程的类型(types,域将会操作的)是按照域属性(标签)给出的。普遍的策略(比如,允许所有的域通过var_t打标签的路径来搜索)可以使用这个属性代替在多种显示类型间迭代。因为auditd_t域也被daeman和domain属性标识,我们可以看到相关的Allow语句。

于是我们要做的就是标记/srv/logs为var_log_t,标记/srv/logs/audit和子目录和文件为auditd_log_t。按照以下操作:

root #semanagefcontext -a -t var_log_t "/srv/logs(/.*)?"
root #semanagefcontext -a -t auditd_log_t "/srv/logs/audit(/.*)?"
root #restorecon-Rv /srv/logs
restorecon reset /srv/logscontext unconfined_u:object_r:var_t->unconfined_u:object_r:var_log_t
restorecon reset/srv/logs/audit contextunconfined_u:object_r:var_t->unconfined_u:object_r:auditd_log_t

我们所做的就是,告诉SELinux管理程序使用类型var_log_t(-t var_log_t)和auditd_log_t增加(-a)文件上下文定义(fcontext)。接着根据最近修改的定义,使用restorecon来更新文件上下文。

semanage工具是用来修改和更新系统上SELinux设置的主要工具。所以通过它删除之前设置的上下文定义也是它所支持的,我们需要做的就是使用-d(删除)来代替-a

root #semanagefcontext -d -t var_log_t "/srv/logs(/.*)?"

我们需要记住

1.        文件的上下文是SELinux安全系统最重要的部门之一

2.        错误的上下文是SELinux相关拒绝和权限问题最普遍的原因

3.        上下文定义是通过semanage fcontext使用正则表达式来映类型

4.        通过restorecon是上下文最好的应用和部署。

 

 链接:https://wiki.gentoo.org/wiki/SELinux/Tutorials/Controlling_file_contexts_yourself


相关文章推荐

java安全机制 控制文件的授权 读写控制

在java中的java.policy这个文件中,定义了一些信息,比如grant等,就是对某些文件进行授权的,类似于liscense文件, 此文件采用了沙箱的模式 ,封装了一些允许的范围,提高的安全度...

手工恢复控制文件

  • 2013-03-21 08:28
  • 216KB
  • 下载

设置文件安全上下文的代码实现 ---- SEAndroid in android 5.x

一.设置ROM中的文件的安全上下文        以system.img为例,生成system.img的命令在build/core/Makefile文件中: BUILT_SYSTEMIMAGE ...

Linux运维笔记-文档总结-永久更改文件SELINUX安全上下文和管理SELINUX布尔值

以下所有操作都是在Red-hat 7.0上1.selinux 安全上下文访问规则• WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文 system_u:system_r:httpd_...

Oracle 控制文件(CONTROLFILE)

--============================= -- Oracle 控制文件(CONTROLFILE) --=============================   一...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)