selinux:当前运行状态
$ /usr/sbin/sestatus //selinux运行状态
SELinux status: enabled 状态
SELinuxfs mount: /selinux
Current mode: enforcing 模式
Mode from config file: enforcing
Policy version: 24
1.查看文件的selinux安全上下文
$ ls -Z file1
-rw-rw-r--. user1 group1 unconfined_u:object_r:user_home_t:s0 file1
用户user:角色role:类型type:级别level
user: system_u;系统用户
role: system_r;系统进程,如守护进程。
object_r;文件上的通用角色。
type: init_t; (域)
kernel_t
进程名_t
2.查看linux 用户与selinux用户映射关系
# /usr/sbin/semanage login -l
Login Name SELinux User MLS/MCS Range
__default__ unconfined_u s0-s0:c0.c1023
root unconfined_u s0-s0:c0.c1023
system_u system_u s0-s0:c0.c1023
添加新映射:semanage login -a -s user_u(selinux用户) newuser(linux 用户)
更改映射:semanage login -m -S targeted -s "user_u" -r s0 __default__
semanage login -m -S targeted -s "unconfined_u" -r s0-s0:c0.c1023 __default__
3.域转换:(触发域->控制相应的类型)
域中可以访问的类型:如 查看httpd_t 域中类型,man httpd_selinux
例:当用户运行passwd 时,用户shell进程 会进入 passwd_t 域。
在/usr/bin/passwd文件的可执行文件被标记为与passwd_exec_t类型:(进入passwd_t域(运行时可以查看),此域内可以读写shadow_t类型)
$ ls -Z /usr/bin/passwd
-rwsr-xr-x root root system_u:object_r:passwd_exec_t:s0 /usr/bin/passwd
passwd应用程序的访问/etc/shadow文件,这是读写shadow_t类型:
$ ls -Z /etc/shadow
----------. root root system_u:object_r:shadow_t:s0 /etc/shadow
3.2.SELinux策略规则运行的进程在passwd_t域允许读取和写入的文件打成与shadow_t类型。仅适用于shadow_t类型所需要的文件更改密码。这包括的/etc/gshadow中, /etc/ hadow文件及其备份文件。
3.3. SELinux策略规则指出的passwd_t域的入口点的passwd_exec_t类型的权限。
3.4.当用户运行在/usr/bin/passwd文件的应用程序,用户的shell的过程转换的passwd_t域。
与SELinux ,因为默认操作是拒绝和规则的存在允许运行的应用程序在passwd_t域访问标有shadow_t类型的文件(除其他外) , passwd应用程序允许访问/ etc / shadow中,更新用户的密码。
4.确定进程的安全上下文:
运行程序:passwd
ps -eZ | grep passwd
unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023 13212 pts/1 00:00:00 passwd
在这个例子中,当在/usr /bin/passwd文件的的应用(标有passwd_exec_t类型)被执行,用户的shell的进程转换到passwd_t域。
请记住:类型定义了一个进程域和文件的类型。
5.确定当前用户的安全上下文
id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
fedora默认,用户为unconfined_u,角色为unconfined_r,域为unconfined_t,MLS范围为s0,有权访问类别为c0-c1023.
6. selinux 问题跟踪解决:
setroubleshoot,setroubleshoot-server, dbus audit(auditd)
6.1.启动auditd, ->/etc/log/audit/audit.log
setroubleshootd,rsyslogd
提示日志;
/var/log/audit/audit.log --》setroubleshootd:(sedispatch,seapplet)会转发到messages
/var/log/messages
/var/log/htttpd/error_log
auditd on:--> /var/log/audit/audit.log
auditd off; rsyslogd on ;--> /var/log/messages
setroubleshootd, rsyslogd, and auditd on; --> /var/log/audit/audit.log. Easier-to-read denial messages also sent to /var/log/messages
日志查看:
ausearch -m avc [-ts [today|recent]]
ausearch -m avc -c httpd (指定服务名)
aureport -a
sealert -l \* //查看所有消息
grep "SELinux is preventing" /var/log/messages
grep "denied" /var/log/audit/audit.log
chcon ;重新标记文件,更改
chcon -t samba_share_t /var/www/html/testfile
(httpd 能访问 httpd_sys_content_t 文件)
restorecon ; 恢复原始安全上下文
restorecon -v /usr/sbin/httpd
unconfined域,几乎可以访问所有文件,当进程运行在unconfined域,访问其他域文件时,使用DAC;rwx
chcon -t unconfined_exec_t /usr/sbin/httpd
6.2.图形化查看selinux问题;
sealert -b //开启sealert gui
sealert -a /var/log/audit/audit.log -H > audit.html
sealert //图形化查看(有解决的命令提示)
6.3解决方法:
权限:chmod ,chown
a,改变安全上下文
临时更改: chcon -R -t...
持久更改: semanage fcontext -a -t httpd_sys_content_t /var/www/html
恢复: restorecon -R -v /var/www/html
检查是否已更改:matchpathcon -V
b,改变boolean参数值
查看:getsebool -a | grep httpd
设置:setsebool -P httpd_can_network_connect_db on
Boolean值;
semanage boolean -l //列出所有boolean值(有解释)
getsebool -a //列出所有boolean值
setsebool boolean-name on/off//设置boolean值(临时, -P持久)
c,端口号;
semanage port -l //查询服务关联的端口。
删除对某一域的permissive;semanage permissive -d httpd_t
错误日志格式:
例如:audit.log
type=AVC msg=audit(1226874073.147:96): avc: denied { getattr } for pid=2465 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=284133 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file
type=SYSCALL msg=audit(1226874073.147:96): arch=40000003 syscall=196 success=no exit=-13 a0=b98df198 a1=bfec85dc a2=54dff4 a3=2008171 items=0 ppid=2463 pid=2465 auid=502 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=6 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)
格式:
{ getattr } ;括号中表示拒绝的动作。
comm="httpd";进程名
path="/var/www/html/file1" ;访问对象的完整路径
scontext="unconfined_u:system_r:httpd_t:s0";进程的安全上下文
tcontext="unconfined_u: object_r:samba_share_t:s0"; 访问对象的安全上下文
system call (SYSCALL) message:
success=no: 系统调用是否成功。
exe="/usr/sbin/httpd":可执行程序的完整路径。
scontext与tcontext不匹配:查看某一个哉中的类型 ;如 manhttpd_selinux
文件系统安装是设置安全上下文;
mount -o context="system_u:object_r:httpd_sys_content_t:s0"
$ /usr/sbin/sestatus //selinux运行状态
SELinux status: enabled 状态
SELinuxfs mount: /selinux
Current mode: enforcing 模式
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted 策略
运行时改变selinux状态: setenforce 0|1
1.查看文件的selinux安全上下文
$ ls -Z file1
-rw-rw-r--. user1 group1 unconfined_u:object_r:user_home_t:s0 file1
用户user:角色role:类型type:级别level
user: system_u;系统用户
role: system_r;系统进程,如守护进程。
object_r;文件上的通用角色。
type: init_t; (域)
kernel_t
进程名_t
2.查看linux 用户与selinux用户映射关系
# /usr/sbin/semanage login -l
Login Name SELinux User MLS/MCS Range
__default__ unconfined_u s0-s0:c0.c1023
root unconfined_u s0-s0:c0.c1023
system_u system_u s0-s0:c0.c1023
添加新映射:semanage login -a -s user_u(selinux用户) newuser(linux 用户)
更改映射:semanage login -m -S targeted -s "user_u" -r s0 __default__
semanage login -m -S targeted -s "unconfined_u" -r s0-s0:c0.c1023 __default__
3.域转换:(触发域->控制相应的类型)
域中可以访问的类型:如 查看httpd_t 域中类型,man httpd_selinux
例:当用户运行passwd 时,用户shell进程 会进入 passwd_t 域。
passwd_exec_t 为passwd_t域的entrypoint。
在/usr/bin/passwd文件的可执行文件被标记为与passwd_exec_t类型:(进入passwd_t域(运行时可以查看),此域内可以读写shadow_t类型)
$ ls -Z /usr/bin/passwd
-rwsr-xr-x root root system_u:object_r:passwd_exec_t:s0 /usr/bin/passwd
passwd应用程序的访问/etc/shadow文件,这是读写shadow_t类型:
$ ls -Z /etc/shadow
----------. root root system_u:object_r:shadow_t:s0 /etc/shadow
3.2.SELinux策略规则运行的进程在passwd_t域允许读取和写入的文件打成与shadow_t类型。仅适用于shadow_t类型所需要的文件更改密码。这包括的/etc/gshadow中, /etc/ hadow文件及其备份文件。
3.3. SELinux策略规则指出的passwd_t域的入口点的passwd_exec_t类型的权限。
3.4.当用户运行在/usr/bin/passwd文件的应用程序,用户的shell的过程转换的passwd_t域。
与SELinux ,因为默认操作是拒绝和规则的存在允许运行的应用程序在passwd_t域访问标有shadow_t类型的文件(除其他外) , passwd应用程序允许访问/ etc / shadow中,更新用户的密码。
4.确定进程的安全上下文:
运行程序:passwd
ps -eZ | grep passwd
unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023 13212 pts/1 00:00:00 passwd
在这个例子中,当在/usr /bin/passwd文件的的应用(标有passwd_exec_t类型)被执行,用户的shell的进程转换到passwd_t域。
请记住:类型定义了一个进程域和文件的类型。
5.确定当前用户的安全上下文
id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
fedora默认,用户为unconfined_u,角色为unconfined_r,域为unconfined_t,MLS范围为s0,有权访问类别为c0-c1023.
6. selinux 问题跟踪解决:
setroubleshoot,setroubleshoot-server, dbus audit(auditd)
6.1.启动auditd, ->/etc/log/audit/audit.log
setroubleshootd,rsyslogd
提示日志;
/var/log/audit/audit.log --》setroubleshootd:(sedispatch,seapplet)会转发到messages
/var/log/messages
/var/log/htttpd/error_log
auditd on:--> /var/log/audit/audit.log
auditd off; rsyslogd on ;--> /var/log/messages
setroubleshootd, rsyslogd, and auditd on; --> /var/log/audit/audit.log. Easier-to-read denial messages also sent to /var/log/messages
日志查看:
ausearch -m avc [-ts [today|recent]]
ausearch -m avc -c httpd (指定服务名)
aureport -a
sealert -l \* //查看所有消息
grep "SELinux is preventing" /var/log/messages
grep "denied" /var/log/audit/audit.log
chcon ;重新标记文件,更改
chcon -t samba_share_t /var/www/html/testfile
(httpd 能访问 httpd_sys_content_t 文件)
restorecon ; 恢复原始安全上下文
restorecon -v /usr/sbin/httpd
unconfined域,几乎可以访问所有文件,当进程运行在unconfined域,访问其他域文件时,使用DAC;rwx
chcon -t unconfined_exec_t /usr/sbin/httpd
6.2.图形化查看selinux问题;
sealert -b //开启sealert gui
sealert -a /var/log/audit/audit.log -H > audit.html
sealert //图形化查看(有解决的命令提示)
6.3解决方法:
权限:chmod ,chown
a,改变安全上下文
临时更改: chcon -R -t...
持久更改: semanage fcontext -a -t httpd_sys_content_t /var/www/html
恢复: restorecon -R -v /var/www/html
检查是否已更改:matchpathcon -V
b,改变boolean参数值
查看:getsebool -a | grep httpd
设置:setsebool -P httpd_can_network_connect_db on
Boolean值;
semanage boolean -l //列出所有boolean值(有解释)
getsebool -a //列出所有boolean值
setsebool boolean-name on/off//设置boolean值(临时, -P持久)
c,端口号;
semanage port -l //查询服务关联的端口。
semanage port -a -t http_port_t -p tcp 9876//添加一条新记录到 /etc/selinux/targeted/modules/active/ports.local
d,创见策略
audit2allow -w -a //查看拒绝原因audit2allow -a // 查看 添加的规则
audit2allow -a -M myxxxx//针对所有AVC产生规则(生成myxxxx.pp和myxxxx.te)。
grep httpd /var/log/audit/audit.log | audit2allow -M myhttpd (针对某个进程产生规则)
semodule -i myhttpd.pp 安装规则
删除对某一域的permissive;semanage permissive -d httpd_t
错误日志格式:
例如:audit.log
type=AVC msg=audit(1226874073.147:96): avc: denied { getattr } for pid=2465 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=284133 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file
type=SYSCALL msg=audit(1226874073.147:96): arch=40000003 syscall=196 success=no exit=-13 a0=b98df198 a1=bfec85dc a2=54dff4 a3=2008171 items=0 ppid=2463 pid=2465 auid=502 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=6 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)
格式:
{ getattr } ;括号中表示拒绝的动作。
comm="httpd";进程名
path="/var/www/html/file1" ;访问对象的完整路径
scontext="unconfined_u:system_r:httpd_t:s0";进程的安全上下文
tcontext="unconfined_u: object_r:samba_share_t:s0"; 访问对象的安全上下文
system call (SYSCALL) message:
success=no: 系统调用是否成功。
exe="/usr/sbin/httpd":可执行程序的完整路径。
scontext与tcontext不匹配:查看某一个哉中的类型 ;如 manhttpd_selinux
文件系统安装是设置安全上下文;
mount -o context="system_u:object_r:httpd_sys_content_t:s0"
# mount /dev/sda2 /test/ -o defcontext="system_u:object_r:samba_share_t:s0"
注:相关工具所在包:
policycoreutils-python: semanage, audit2allow, audit2why and chcat
policycoreutils: restorecon, secon, setfiles, semodule, load_policy, setsebool
policycoreutils-gui: system-config-selinux
libselinux-utils: avcstat, getenforce, getsebool, matchpathcon, selinuxconlist, selinuxdefcon, selinuxenabled, setenforce, togglesebool
setroubleshoot-server: sealert
6539
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
