而 MAC 又细分为了两种方式,一种叫类别安全(MCS)模式,另一种叫多级安全(MLS)模式。
下文中的操作均为 MCS 模式。
2.4 DAC 和 MAC 的对比
这里引用一张图片来说明。
可以看到,在 DAC 模式下,只要相应目录有相应用户的权限,就可以被访问。而在 MAC 模式下,还要受进程允许访问目录范围的限制。
三、SELinux 基本概念
3.1 主体(Subject)
可以完全等同于进程。
注:为了方便理解,如无特别说明,以下均把进程视为主体。
3.2 对象(Object)
被主体访问的资源。可以是文件、目录、端口、设备等。
注:为了方便理解,如无特别说明,以下均把文件或者目录视为对象。
3.3 政策和规则(Policy & Rule)
系统中通常有大量的文件和进程,为了节省时间和开销,通常我们只是选择性地对某些进程进行管制。
而哪些进程需要管制、要怎么管制是由政策决定的。
一套政策里面有多个规则。部分规则可以按照需求启用或禁用(以下把该类型的规则称为布尔型规则)。
规则是模块化、可扩展的。在安装新的应用程序时,应用程序可通过添加新的模块来添加规则。用户也可以手动地增减规则。
在 CentOS 7 系统中,有三套政策,分别是:
-
targeted:对大部分网络服务进程进行管制。这是系统默认使用的政策(下文均使用此政策)。
-
minimum:以 targeted 为基础,仅对选定的网络服务进程进行管制。一般不用。
-
mls:多级安全保护。对所有的进程进行管制。这是最严格的政策,配置难度非常大。一般不用,除非对安全性有极高的要求。
政策可以在 /etc/selinux/config 中设定。
3.4 安全上下文(Security Context)
安全上下文是 SELinux 的核心。
安全上下文我自己把它分为「进程安全上下文」和「文件安全上下文」。
一个「进程安全上下文」一般对应多个「文件安全上下文」。
只有两者的安全上下文对应上了,进程才能访问文件。它们的对应关系由政策中的规则决定。
文件安全上下文由文件创建的位置和创建文件的进程所决定。而且系统有一套默认值,用户也可以对默认值进行设定。
需要注意的是,单纯的移动文件操作并不会改变文件的安全上下文。
安全上下文的结构及含义
安全上下文有四个字段,分别用冒号隔开。形如:system_u:object_r:admin_home_t:s0。
3.5 SELinux 的工作模式
SELinux 有三种工作模式,分别是:
-
enforcing:强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。
-
permissive:宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。
-
disabled:关闭 SELinux。
SELinux 工作模式可以在 /etc/selinux/config 中设定。
如果想从 disabled 切换到 enforcing 或者 permissive 的话,需要重启系统。反过来也一样。
enforcing 和 permissive 模式可以通过 setenforce 1|0 命令快速切换。
需要注意的是,如果系统已经在关闭 SELinux 的状态下运行了一段时间,在打开 SELinux 之后的第一次重启速度可能会比较慢。因为系统必须为磁盘中的文件创建安全上下文(我表示我重启了大约 10 分钟,还以为是死机了……)。
SELinux 日志的记录需要借助 auditd.service 这个服务,请不要禁用它。
3.6 SELinux 工作流程
这里引用一张图片,不必过多解释。
注:上面的安全文本指的就是安全上下文。
四、SELinux 基本操作
4.1 查询文件或目录的安全上下文
命令基本用法
ls -Z
用法举例
查询 /etc/hosts 的安全上下文。
ls -Z /etc/hosts
执行结果
-rw-r–r–. root root system_u:object_r:net_conf_t:s0 /etc/hosts
4.2 查询进程的安全上下文
命令基本用法
ps auxZ | grep -v grep | grep
用法举例
查询 Nginx 相关进程的安全上下文。
ps auxZ | grep -v grep | grep nginx
执行结果
system_u:system_r:httpd_t:s0 root 7997 0.0 0.0 122784 2156 ? Ss 14:31 0:00 nginx: master process /usr/sbin/nginx
system_u:system_r:httpd_t:s0 nginx 7998 0.0 0.0 125332 7560 ? S 14:31 0:00 nginx: worker process
4.3 手动修改文件或目录的安全上下文
命令基本用法
chcon […]
选项功能-u 修改安全上下文的用户字段-r 修改安全上下文的角色字段-t 修改安全上下文的类型字段-l 修改安全上下文的级别字段–reference 修改与指定文件或目录相一致的安全上下文-R递归操作-h修改软链接的安全上下文(不加此选项则修改软链接对应文件)
用法举例
修改 test 的安全上下文为 aaa_u:bbb_r:ccc_t:s0。
chcon -u aaa_u -r bbb_r -t ccc_t test
4.4 把文件或目录的安全上下文恢复到默认值
命令基本用法
restorecon [选项] […]
选项功能-v打印操作过程-R递归操作
用法举例
添加一些网页文件到 Nginx 服务器的目录之后,为这些新文件设置正确的安全上下文。
restorecon -R /usr/share/nginx/html/
4.5 查询系统中的布尔型规则及其状态
命令基本用法
getsebool -a
由于该命令要么查询所有规则,要么只查询一个规则,所以一般都是先查询所有规则然后用 grep 筛选。
用法举例
查询与 httpd 有关的布尔型规则。
getsebool -a | grep httpd
执行结果
httpd_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_connect_ftp --> off
#以下省略
4.6 开关一个布尔型规则
命令基本用法
setsebool [选项]
选项功能-P重启依然生效
用法举例
开启 httpd_anon_write 规则。
setsebool -P httpd_anon_write on
4.7 添加目录的默认安全上下文
命令基本用法
semanage fcontext -a -t “(/.*)?”
注:目录或文件的默认安全上下文可以通过 semanage fcontext -l 命令配合 grep过滤查看。
用法举例
为 Nginx 新增一个网站目录 /usr/share/nginx/html2 之后,需要为其设置与原目录相同的默认安全上下文。
semanage fcontext -a -t httpd_sys_content_t “/usr/share/nginx/html2(/.*)?”
4.8 添加某类进程允许访问的端口
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Linux运维工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
883954843)]
[外链图片转存中…(img-kos18sqB-1712883954844)]
[外链图片转存中…(img-H5CTAJXx-1712883954844)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Linux运维知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip1024b (备注Linux运维获取)
[外链图片转存中…(img-esKZb0TW-1712883954844)]