SELinux:
是由美国国家安全局开发的,目的避免资源的误用,它的作法是以最小权限原则(principle of least privilege)为基础,在Linux核心中使用Linux安全模块(Linux Security Modules)。它并非一个Linux发布版,而是一组可以应用在类Unix操作系统(如Linux、BSD等的修改。SELinux不是一个安全软件,也不是为了替代密码,防火墙及其他安全系统,不是一种安全的解决方法,只是一种加强现有安全解决办法。
传统的文件与账户的关系:
自主式访问控制DAC(Discretionary Access Crontrol)基本上就是依据进程的拥有者与文件的-RWX权限决定有无存取的能力,
不过这种机制有几个问题不安全:1.root用户拥有最高权限,如果某只进程被他人取得root的权限,那么这个进程就可以进行任何资源操作。
2.用户可以取得进程来变更文件的访问权限,如果某个目录的权限被设定为777,那么任何人都会对目录有读取存储的权限。
以策略规则定制特定进程的读取特定文件的权限:委任访问方式,MAC(Mandatory acess Control)
MAC设定下,进程的活动空间变小,他可以针对特定进程与特定的文件资源进行权限的控制,即使是root用户,针对不同的进程,你所能取得的权限也不一定是root。控制的主体由用户变成了进程,这个主体也不能随便使用系统资源,应为每一个文件也有针对该主体进程设定的权限。如此一来整个系统那么多进程、文件,一项一项的控制就没有穷尽,所以SElinux也就是提供一些预设的Ploicy,并在该ploicy内提供多个rule,那你选择启动控制规则。
SELinux 的运作模式
主体(subject):
SELinux 主要管理的就是进程
目标(object):
主体进程能否存取目标资源,一般是文件
策略(policy):
Centos里面提供两种策略:
targeted:针对网络服务限制多,针对本机限制较少,是预设的政策
strict:完整的SELinux限制,限制方面比较严格。
安全性文本(security context):
主体和目标的安全性文本必须一致才能顺利存取,这个安全性文本(scurity context)有点类似于文件系统的RWX,安全性的文件内容与设定非常重要。
如图1:
三个冒号组成的三个字段
Identify:role:type
身份识别(Identify):相当于账号方面的身份识别
.root;表示root身份账号
.object_r:代表是文件或目录资源
.system_u:代表是进程
类型(type):(最重要!)
在默认的targeted政策中,Identify与Role字段基本不重要,基本,一个主体进程能不能读取到这个文件,月类型有关而类型的文件与进程的定义不太想听听
.type:在文件资源(object)上面称为类型;
.domain:在主体进程(sbuject)则称为领域
进程与文件SELinux type 字段的相关性
SELinux支持三种模式:强制模式(enforcing)、宽容模式(permissive)、关闭模式(disable)查看SELinux模式:getenforce
查看策略(policy):sestatus [-vb]
配置SELinux配置文件: /etc/selinux/config
并且到核心有无关闭SELinux(如果关闭会出现 selinux=0 )/boot/grup/menu.lst
切换enforcing与permissive之间:setenforce [0|1]
重设SELinux安全性文本
chcon [-R] [-t type] [-u user] [-r role] 文件还是user
chccon是透过直接指定的方式来处理安全的类型资料
restorecon [Rv] 文件或目录 使用预设的安全性文本还原
你终有一天会被 SELinux 阻止你访问所需的东西,而且要解决这个问题。SELinux 拒绝某个文件、进程或资源被访问的基要原因有数个:
- 一个被错误标签的文件。
- 一个进程在错误的 SELinux 安全性脉络下运行。
- 政策出错。某个进程要访问一个在编写政策时意料不到的文件,并产生错误信息。
- 一个入侵的企图。
SELinux所需的服务
所有的SELinux相关进程都是以se开头的
.setroubleshoot 错误日志写入 /var/log/messsage
这个服务会将关于SELinux的错误日志和解决方法记录到/var/log/message里
setroubleshoot默认开机自动启动,我们可以使用chkcconfig setroubleshoot on 命令开启
.aduit 会将SELinux发生的错误写入/var/log/aduit/aduit.log中
与setroubleshoot不同,aduit会将很多的SELinux的信息都记录下来,而不知是错误日志,因此登录/var/log/audit/audit.log,非常庞大的,SELinux提供了audit2why来指令帮助查询信息。
SELinux的政策与规则管理
策略的查询:
seinfo [-Atrub]
seinfo -t |grep httpd 找到含有httpd字样的安全性文本
sesearch [-a] [-s 主体类别] [-t 目标类别] [-b 布尔值]
sesearch -a -t httpd_sys_content_t
这两个命令输出的策略数据都是放置在/etc/selinux/targeted_or_strict里面
布尔值的修改
subject 与object能否有存取的权限是与布尔值有关,查询系统的布尔值可以透过:seinfo -b
getsebool [-a] [布尔条款]:查询某一个或多个布尔值的是关系还是开启状态
默认目录的安全性文本查询与修改
semanage {login|user|port|interface|fcontext|translation}
fcontext :主要用在安全性文本的用途,-l 为查询
-a:增加的意思,可以增加一些目录的安全文本的文本类型的设定
-m:修改好
-d:删除的意思
chcon 这个指令可以用来更改一个或多个文件与目录的 SELinux 安全性脉络,正如 'chown' 或 'chmod' 可以用来更改一个文件的拥有者或标准权限。
就以 Apache 为例,假设你想修改 DocumentRoot 以另一个位置来伺服网页,替换缺省的/var/www/html 目录。譬如说我们在 /html 创建了一个目录(又或者挂载点),然后在那里创建一个index.html 档:
# mkdir /html
# touch /html/index.html
# ls -Z /html/index.html
-rw-r--r-- root root user_u:object_r:default_t /html/index.html
# ls -Z | grep html
drwxr-xr-x root root user_u:object_r:default_t html
我们可以见到 /html 这个目录以及/html/index.html 这个文件都拥有缺省的 default_t 安全性脉络类型。如果我们打开浏览器并尝试查看该页,SELinux 将会正确地拒绝它们被访问并记录错误,因为该目录与文件拥有不正确的安全性脉络。我们须要设置供 Apache 使用的 httpd_sys_content_t 正确安全性脉络。
# chcon -v --type=httpd_sys_content_t /html
context of /html changed to user_u:object_r:httpd_sys_content_t
# chcon -v --type=httpd_sys_content_t /html/index.html
context of /html/index.html changed to user_u:object_r:httpd_sys_content_t
# ls -Z /html/index.html
-rw-r--r-- root root user_u:object_r:httpd_sys_content_t /html/index.html
# ls -Z | grep html
drwxr-xr-x root root user_u:object_r:httpd_sys_content_t html
我们同样也可以利用 -R 这个回递标旗同时将它们的脉络设置:
# chcon -Rv --type=httpd_sys_content_t /html
其他的命令及配置方法我这里就不再列举的,这里给两个链接一个是CentOS的简体document,一个事redhat原版英文版,
百度不到的好东西,希望不会被强奸。
Centos:http://wiki.centos.org/zh/HowTos/SELinux#head-23b32edada724aa8a29ab04685b53de6455e08a0
redhat:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7-Beta/html/SELinux_Users_and_Administrators_Guide/sec-What-is-new-in-RHEL-7.html
1106
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
