SELinux

最新推荐文章于 2024-06-21 13:19:29 发布

老司机丨快上车

最新推荐文章于 2024-06-21 13:19:29 发布

阅读量453

点赞数

分类专栏： Linux

本文链接：https://blog.csdn.net/qq_35242906/article/details/80342324

版权

39 篇文章 0 订阅

订阅专栏

 
 SELinux的介绍 

 
 是美国国家安全局）和SCC）开发的Linux的一个强制访问控制的安全模块 

 
 DAC：自由访问控制自由访问控制 

 
 早期，有管理员设置 

 
 MAC：强制访问控制 

 
 DAC环境下进程是无束缚的 

 
 MAC环境下策略的规则决定控制的严格程度 

 
 MAC环境下进程可以被限制的 

 
 策略被用来定义被限制的进程能够使用那些资源（文件和端口） 

 
 默认情况下，没有被明确允许的行为将被拒绝 

 
 SELinux的有四种工作类型:(不同版本不同类型） 

 
 strict：centos5，每个进程都受到selinux的控制 

 
 目标：用来保护常见的网络服务，仅有限进程受到selinux控制，只监控容易被入侵的进程，centos4只保护13个服务，centos5保护88个服务 

 
 最低：centos7，修改的有针对性，只对选择的网络服务 

 
 MLS：提供MLS（多级安全）机制的安全性 

 
 有针对性的为默认类型，最小和MLS稳定性不足，未加以应用，严格已不再使用 

 
 SELinux的安全上下文 

 
 传统的Linux，一切皆文件，由用户，组，权限控制访问 

 
 在SELinux的中，一切皆对象（对象），由存放在索引节点的扩展属性域的 

 
 安全元素所控制其访问 

 
 所有文件和端口资源和进程都具备安全标签：安全上下文（SecurityContext的） 

 
 安全上下文有五个元素组成： 

 
 用户：角色：类型：灵敏度：类别（centos的只支持前四项） 

 
 user_u：object_r：tmp_t：S0：C0 

 
 实际上下文：存放在文件系统中，ls -Z; ps -Z 

 
 期望（默认）上下文：存放在二进制的SELinux的策略库（映射目录和期望安全上下文）中 

 
 semanage fcontext -l 

 
 五个安全元素 

 
 用户：指示登录系统的用户类型，如根，user_u，system_u，多数本地进程都属于自由（无侧限）进程 

 
 作用：定义文件，进程和用户的用途：文件：object_r，进程和用户：system_r 

 
 类型：指定数据类型，规则中定义何种进程类型访问何种文件目标策略基于类型的实现，多服务共用：public_content_t 

 
 灵敏度：限制访问的需要，由组织定义的分层安全级别，如未分类，秘密，顶级，秘密，一个对象有且只有一个敏感度，分0-15级，s0最低，目标策略默认使用s0 

 
 分类：对于特定组织划分不分层的分类，如FBI Secret，NSA secret，一个对象可以有多个分类，c0-c1023共1024个分类，Target策略不使用category 

 
 SELinux的策略 

 
 对象（对象）：所有可以读取的对象，包括文件，目录和进程，端口等 

 
 主体：进程称为主体（主体） 

 
 的SELinux中对所有的文件都赋予一个类型的文件类型标签，对于所有的进程也赋予各自的一个域的标签。域标签能够执行的操作由安全策略里定义 

 
 当一个对象试图访问一个对象，核中的策略执行服务器将检查AVC（访问矢量缓存访问向量缓存），在AVC中，主体和对象的权限被缓存（缓存），查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问 

 
 安全策略：定义主体读取对象的规则数据库，规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的，并且定义了哪种行为是充许或拒绝 

 
 配置SELinux的： 

 
 SELinux的是否启用 

 
 给文件重新打安全标签 

 
 给端口设置安全标签 

 
 设定某些操作的布尔型开关 

 
 SELinux的的日志管理 

 
 SELinux的的状态： 

 
 enforcing：强制，每个受限的进程都必然受限 

 
 permissive：允许，每个受限的进程违规操作不会被禁止，但会被记录于审计日志 

 
 禁用：禁用 

 
 相关命令： 

 
 getenforce：获取selinux当前状态 

 
 sestatus：查看selinux状态 

 
 setenforce 0 | 1 

 
 0：设置为宽容 

 
 1：设置为强制执行 

 
 配置文件： 

 
 /boot/grub/grub.conf文件 

 
 使用的selinux = 0禁用SELinux的 

 
 的/ etc / selinux的/配置 

 
 的/ etc / SYSCONFIG / selinux的 

 
 SELINUX = {禁用|强制|许可} 

 
 修改SELinux的安全标签 

 
 给文件重新打安全标签： 

 
 chcon [OPTION] ... [-u USER] [-r ROLE] [-t TYPE] FILE ... 

 
  chcon [OPTION] ... --reference = RFILE FILE ... 

 
  -R：递归打标; 

 
 恢复目录或文件默认的安全上下文： 

 
 restorecon [-R] / path / to / somewhere 

 
 默认安全上下文查询与修改 

 
 semanage的：来自policycoreutils的Python包 

 
 查看默认的安全上下文 

 
 semanage fcontext -l 

 
 在/ etc / SELinux的/目标/环境/文件/ file_contexts 

 
 添加安全上下文 

 
 semanage fcontext -a -t httpd_sys_content_t'/testdir(/.*）？' 

 
 restorecon -Rv / testdir 

 
 删除安全上下文 

 
 semanage fcontext -d -t httpd_sys_content_t'/testdir(/.*）？' 

 
 SELINUX端口标签 

 
 查看端口标签 

 
 semanage port -l 

 
 添加端口 

 
 semanage port -a -t port_label -p tcp | udp PORT 

  semanage port -a -t http_port_t -p tcp 9527 

  删除端口 

  semanage port -d -t port_label -p tcp|udp PORT 

  semanage port -d -t http_port_t -p tcp 9527 

  修改现有端口为新标签 

  semanage port -m -t port_label -p tcp|udp PORT(把A服务端口标签移动到B服务) 

  semanage port -m -t http_port_t -p tcp 9527 (移动后A服务则没有该标签) 

 
 SELinux布尔值 

  布尔型规则： 

  getsebool 

  setsebool 

  查看bool命令： 

  getsebool [-a] [boolean] 

  semanage boolean –l 

  semanage boolean -l –C 查看修改过的布尔值 

  设置bool值命令： 

  setsebool [-P] boolean value（on,off） 

  setsebool [-P] Boolean=value（0，1） 

 
 SELinux日志管理 

  yum install setroubleshoot（重启生效） 

  将错误的信息写入/var/log/message 

  grep setroubleshoot /var/log/messages 

  sealert -l UUID 

  查看安全事件日志说明 

  sealert -a /var/log/audit/audit.log 

  扫描并分析日志 

关注