小壮学运维20--selinux
一、内核级防火墙 selinux 

 1.三种级别
   1 强制(E)   0 警告(P)    关闭(D)

  


 2.安全标签:安全上下文

   当selinux插件处于关闭状态,vsftp服务无安全标签
   

   当selinux插件处于强制/警告状态,重启时给所有服务添加安全标签(例 ps auxZ | grep vsftpd)

   



 

二、selinux级别管理

(注意:修改完配置文件要重起服务:systemctl restart vsftpd)


 1.selinux配置文件 /etc/sysconfig/selinux  
    1 强制:警告,并拒绝访问(enforcing)
    0 警告:不被拒绝,但会产生警告日志 (permissive) 

    关闭:不被拒绝,可正常访问 (disabled)



 2.selinux级别信息
   查看selinux级别 getenforce
   设置selinux级别 setenforce  0 | 1
   注意:强制和警告级别可相互切换,两者之前切换不用reboot;但若关闭selinux插件,修改配置文件后必须reboot;若打开selinux插件,同样必须reboot;

 3.selinux不同级别的文件管理
   disable    ##客户端可看到移动到pub目录的文件

   touch /mnt/hello
   mv /mnt/hello /var/ftp/pub/
[kiosk@foundation48 Desktop]$ lftp 172.25.254.148
lftp 172.25.254.148:~> cd pub/
lftp 172.25.254.148:/pub> ls

-rw-r--r--    1 0        0               0 Apr 20 01:47 hello


   

Enforcing  ##客户端不能看到移动到pub目录的文件



   touch /mnt/nihao

   mv /mnt/nihao /var/ftp/pub/
[kiosk@foundation48 Desktop]$ lftp 172.25.254.148
lftp 172.25.254.148:~> cd pub/

lftp 172.25.254.148:/pub> ls




   Permissive ##客户端可看到移动到pub目录的文件,但会产生警告日志

   touch /mnt/hi

   mv /mnt/hi /var/ftp/pub/
[kiosk@foundation48 Desktop]$ lftp 172.25.254.148
lftp 172.25.254.148:~> cd pub/
lftp 172.25.254.148:/pub> ls
-rw-r--r--    1 0        0               0 Apr 20 01:47 hello
-rw-r--r--    1 0        0               0 Apr 20 01:51 hi

-rw-r--r--    1 0        0               0 Apr 20 01:50 nihao


   警告日志:
Apr 19 22:24:45 localhost setroubleshoot: Plugin Exception restorecon_source
Apr 19 22:24:45 localhost setroubleshoot: SELinux is preventing /usr/sbin/vsftpd from getattr access on the file . For complete SELinux messages. run sealert -l 02aabd5f-5815-4de5-b686-c6a8de8d6b66
Apr 19 22:24:45 localhost python: SELinux is preventing /usr/sbin/vsftpd from getattr access on the file .
 
三、文件的安全上下文设置

 1.实验环境(修改ftp的默认发布目录)  
   配置文件 /etc/vsftpd/vsftpd.conf 
   anon_root=/westos
   注意:需要新建相关目录和文件
   mkdir /westos/test -p

   touch /westos/test/file



 2.查看文件安全上下文   ls -Z 文件绝对路径
[root@localhost ~]# ls -Z /var/ftp/pub/
 
   查看目录安全上下文   ls -Zd 目录绝对路径

[root@localhost ~]# ls -Zd /westos/




 3.临时修改上下文,重启后失效    ##命令行chcon
  chcon -t 安全上下文类型  目录绝对路径  -R(递归)
[root@localhost ~]# chcon -t public_content_t /westos/ -R
[root@localhost ~]# ls -Zd /westos/

drwxr-xr-x. root root unconfined_u:object_r:public_content_t:s0 /westos/


  
 4.永久修改上下文   ##安全上下文列表
   查看安全上下文列表  semanage fcontext
[root@localhost ~]# semanage fcontext -l | grep /var/ftp/
/var/ftp/bin(/.*)?                                 all files          system_u:object_r:bin_t:s0 
/var/ftp/etc(/.*)?                                 all files          system_u:object_r:etc_t:s0 
/var/ftp/lib(/.*)?                                 all files          system_u:object_r:lib_t:s0 

/var/ftp/lib/ld[^/]*\.so(\.[^/]*)*                 regular file       system_u:object_r:ld_so_t:s0



   将指定目录加入安全上下文列表
[root@localhost ~]# semanage fcontext -a -t public_content_t '/westos(/.*)?'
[root@localhost ~]# semanage fcontext -l | grep /westos
/westos(/.*)?                    all files          system_u:object_r:public_content_t:s0

   重新加载安全上下文列表  restorecon -RvvF
[root@localhost ~]# restorecon -RvvF /westos/
restorecon reset /westos context unconfined_u:object_r:public_content_t:s0->system_u:object_r:public_content_t:s0
restorecon reset /westos/test context unconfined_u:object_r:public_content_t:s0->system_u:object_r:public_content_t:s0
restorecon reset /westos/test/file context unconfined_u:object_r:public_content_t:s0->system_u:object_r:public_content_t:s0
 
 5.此时匿名用户登陆时,可正常访问
[kiosk@foundation48 Desktop]$ lftp 172.25.254.148
lftp 172.25.254.148:~> ls
drwxr-xr-x    2 0        0              17 Apr 20 02:50 test
lftp 172.25.254.148:/> cd test
lftp 172.25.254.148:/test> ls

-rw-r--r--    1 0        0               0 Apr 20 02:50 file



四、selinux的bool值  
   

 1.查看selinux中服务的bool值  getsebool -a

(查看bool值,selinux状态必须是强制状态Enforcing)

[root@localhost ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off

ftpd_use_passive_mode --> off



 2.当ftp_home_dir功能关闭时,本地用户登陆不能后操作
[kiosk@foundation8 Desktop]$ lftp 172.25.254.108 -u student
Password: 
lftp student@172.25.254.108:~> ls      
-rw-r--r--    1 1000     1000         2381 Apr 20 03:28 passwd
lftp student@172.25.254.108:~> rm passwd 
rm: Access failed: 550 Delete operation failed. (passwd)

 3.修改sebool值,打开服务
[root@localhost ~]# setsebool -P ftp_home_dir 1
     -P ##永久修改  0  ##关闭服务      1  ##开启服务

 4.打开ftp_home_dir功能时,本地用户登陆后具备相应权限
[kiosk@foundation8 Desktop]$ lftp 172.25.254.108 -u student
Password: 
lftp student@172.25.254.108:~> ls      
lftp student@172.25.254.108:~> put /etc/passwd
2381 bytes transferred
lftp student@172.25.254.108:~> ls
-rw-r--r--    1 1000     1000         2381 Apr 20 04:40 passwd
lftp student@172.25.254.108:~> rm passwd 
rm ok, `passwd' removed


 5.当客户端登陆报错时,/var/log/messages日志中
   客户端登陆:
[kiosk@foundation8 Desktop]$ lftp 172.25.254.108 -u student
Password: 
lftp student@172.25.254.108:~> ls      
lftp student@172.25.254.108:~> put /etc/passwd
put: Access failed: 553 Could not create file. (passwd)

   日志信息:
You can read 'None' man page for more details.
Do
setsebool -P ftp_home_dir 1

*****  Plugin catchall_boolean (47.5 confidence) suggests   ******************

If you want to allow ftpd to full access
Then you must tell SELinux about this by enabling the 'ftpd_full_access' boolean.
You can read 'None' man page for more details.
Do
setsebool -P ftpd_full_access 1
  注意:日志给出的解决方案,安全性不好!!
  ##该功能由setroubleshoot软件提供,若没有该软件,则系统不会给出解决方案

  而selinux服务本身产生的日志存放在/var/log/audit/audit.log中:
type=CRYPTO_KEY_USER msg=audit(1524270564.867:107): pid=1703 uid=0 auid=0 ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08 direction=? spid=1703 suid=0  exe="/usr/sbin/sshd" hostname=? addr=172.25.254.77 terminal=pts/0 res=success'

阅读更多
文章标签: selinux 运维 linux
个人分类: 运维
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

不良信息举报

小壮学运维20--selinux

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭