SELinux指南

一、SELinux简介 RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。SELinux的全称是Security-Enhanced Linux，是由美国国家安全局NSA开发的访问控制体制。SELinux可以最大限度地保证Linux系统的安全。 至于它的作用到底有多大，举一个简单的例子可以证明：没有SELinux保护的Linux的安全级别和Windows一样，是C2级，但经过保护SELinux保护的Linux，安全级别则可以达到B1级。如：我们把/tmp目录下的所有文件和目录权限设置为0777，这样在没有SELinux保护的情况下，任何人都可以访问/tmp 下的内容。而在SELinux环境下，尽管目录权限允许你访问/tmp下的内容，但SELinux的安全策略会继续检查你是否可以访问。 NSA推出的SELinux安全体系结构称为 Flask，在这一结构中，安全性策略的逻辑和通用接口一起封装在与操作系统独立的组件中，这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性策略，由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器，可以支持不同的安全策略。SELinux使用策略配置语言定义安全策略，然后通过checkpolicy 编译成二进制形式，存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中，在内核引导时读到内核空间。这意味着安全性策略在每次系统引导时都会有所不同。 SELinux的策略分为两种，一个是目标(targeted)策略，另一个是严格(strict)策略。有限策略仅针对部分系统网络服务和进程执行SELinux策略，而严厉策略是执行全局的NSA默认策略。有限策略模式下，9个（可能更多）系统服务受SELinux监控，几乎所有的网络服务都受控。 配置文件是/etc/selinux/config，一般测试过程中使用“permissive”模式，这样仅会在违反SELinux规则时发出警告，然后修改规则，最后由用户觉得是否执行严格“enforcing”的策略，禁止违反规则策略的行为。 规则决定SELinux的工作行为和方式，策略决定具体的安全细节如文件系统，文件一致性。 二、使用设置 在 GUI 图形界面模式下，要更改 SELinux 的策略使用方式，只需依次点击“应用程序”，“系统设置”，“安全级别”；然后在“安全级别配置”对话框的“SELinux”标签页中即可简单进行设置。或者直接在控制台窗口输入“system-config-securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中，我们不但可以设置“启用”或者“禁用”SELinux，而且还可以对已经内置的SELinux策略进行修改。 命令行模式下如何更改 SELinux 的策略使用方式呢？它并没有像防火墙那样方便而直观的“system-config-securitylevel-tui”工具可用。 1）    查看当前模式： # getenforce permissive 2）    Permissive 或者更详细些，包含配置文件中的设定值： # sestatus | grep -i mode Current mode:           permissive Mode from config file: permissive 3）    改变当前模式（立即生效），但重启后又回到配置文件中的设定模式。 设为强制模式 # setenforce 1 # sestatus | grep -i mode Current mode:           enforcing Mode from config file: permissive 设为警告模式 # setenforce 0 # sestatus | grep -i mode Current mode:           permissive Mode from config file: permissive 4）    当系统重启后，为了使 SELinux 的模式为自己所期望的值，需要编辑配置文件。 比如，要将 Enforcing（强制） 改为 warn（警告）模式，可编辑 # vi /etc/selinux/config 将其中的 SELINUX=enforcing 改为： SELINUX=permissive 如果当前 SELinux 已启用，要禁用 SELinux，你需要编辑 /etc/selinux/config，并重启系统。反之亦然，但是要注意，启用时 SELINUX 的值是 enforcing 或 permissive 而不是 enabled！ 5）    禁用 SELinux: # vi /etc/selinux/config SELINUX=disabled 那要如何才能知道当前的状态呢？执行下面的命令： # selinuxenabled;echo $? 结果返回0，表示启用；返回-256，表示禁用。 6）    文件相关命令： ls -Z ps -Z id -Z 分别可以看到文件,进程和用户的SELinux属性。 chcon 改变文件的SELinux属性。 三、案例分析 案例１：运行程序时报告“/opt/AssetSuite/Agent/bin/libasacrypt.so: cannot restore segment prot after reloc: Permission denied” 问题分析：SeLinux禁止了so库的调用。 解决方法： ①       关闭SeLinux ②       改变库文件的上下文 chcon -t texrel_shlib_t /opt/AssetSuite/Agent/bin/libasacrypt.so 案例2：Apache - "Document root must be a directory" 问题？ 有可能和这个问题并发的问题还有 403 Forbidden　禁止访问的问题。 ①       现象描述： 不使用系统默认的 /var/www/html作为系统的Document Root，自己新建一个目录后修改/etc/httpd/conf/httpd.conf 中的配置，然后重起Apache的Daemon，发现Apache无法起动，系统报错：Document root must be a directory。但是，我们设置的DocumentRoot 的确是一个目录，而且apache用户具有可读权限。 另一种情况：新建一个虚拟目录或文件后，无法访问，显示 Forbidden, 403 Error，但文件或目录有可读权限。 ②       问题产生的原因： 一开始想来想去想不出为什么，但是给我感觉是权限的问题，用传统的Linux的思维方式来看，权限绝对没有问题。但是仔细一想，SELinux是不是会有其他安全的设定？ 检查 avcmessage，查看 /var/log/messages文件，发现有类似以下内容的这样一段： Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc: denied{ getattr } forpid=19029 exe=/usr/sbin/httpd path=/var/www/html/about.html dev=dm-0 ino=373900 scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t tclass=file 问题找到了，果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型，因此apache的进程没有权限，无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进程只能访问httpd_sys_content_t类型的目录或文件。 ③       解决办法： 把目录或文件的策略类型改成 httpd_sys_content_t 就可以了。 # chcon -t httpd_sys_content_t [file_name | dir_name] 然后可以用 ls -laZ 命令查看文件目录的策略类型。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/611609/viewspace-687052/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/611609/viewspace-687052/