SELinux基础/激活或关闭SELinux/改变object的域/启用或关闭程序功能


获取更多帮助 《SELinux权威指南》


或许应该叫:如何理解Windows

Linux比Windows更安全,这样说不合理.

  安全等级: A>B>C>D

  Linux(c2) Windows(c2)

GUI界面:MAC>Windows

    图形工作站:mac

 

Windows 专业普及计算机系统。图形不如mac,又不够安全。


SELinux基础


1)访问模型

Linux原有访问模型:自主访问控制 DAC

    安全隐患: 进程所能访问资源的范围 为用户所能访问的资源范围

后门: rootkit程序
进程被胁持:
    基于进程作为跳板,就有了进程属主的权限 
        root
        普通用户--> 查看其他文件 --> 找到漏洞,提权操作

SELinux访问模型: 强制访问机制 MAC

    类似sandbox机制:进程启动在一个沙箱内部,

    为进程运行,启用一个专用的沙箱

sandbox 沙箱: 最小资源集合
进程脱离控制时,不能访问用户所有能访问的文件


2)SELinux工作级别

wKioL1mz6YWBNZtlAAARy9FjKRo167.png

strict 严格级别  每个进程都受到SELinux的控制

targetted      有限个进程受SELinux控制,监控容易被***的进程


3)SELinux工作方式

subject(主语) operation(谓) object(宾)

        subject: 进程

        operation: 取决于被操作对象支持的模式 及 操作者是否在有效区域内

        object: 进程、文件、用户

            文件: operation: open, read, write, close, chown, chmod

活动范围(域):

    subject: domain 

    object:  type


4)SELinux安全标签显示

SELinux为每个文件、进程提供安全标签

查看:

  进程:ps axuZ

    - 没有激活SELinux

例如:-   root     26238  3.0  0.4   4936  1076 pts/0    R+   21:24   0:00 ps axuZ

  文件: ls -Z 显示SELinux的安全上下文

例如:-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg

user:role:type

user: SELinux的user

role: 角色,类似linux的组

type: 类型, 沙箱的范围

subject: domain

object: type

object能被subject操作只有:type是domain的子集:domain == typedomain包含type

    

激活SELinux


1)配置文件位置:

wKioL1mz7FvQCZUuAAAcFRya6Cg261.png


2)SELinux状态

获取SELinux当前状态

getenforce

设定状态:当前有效,重启失效

setenforce #
    0 设定为permissive
    1 设定为enforce

wKiom1mz7VDR3iMBAAATLYWfOQs953.png

enforcing   强制:受限的进程必然受限,不受限的进程不受限。

permissive  允许:受限的进程违规操作不会禁止,但会被记录于审计日志中。 日志位置:/var/log/audit.log

disabled   关闭


3)激活或关闭SELinux

    开启selinux: disabled --> enforcing/permissive

sed -i 's,SELINUX=disabled,SELINUX=enforcing,' /etc/selinux/config

    开启SELinux必须重启,在/重新挂载后,重新对所有文件打标才可以对selinux操作

wKiom1mz7_jRvdMRAAAWGGVlWv0453.png

    关闭selinux:enforcing/permissive --> disabled

sed -i -r 's@(SELINUX=)(enforcing|permissive)@\1disabled@' /etc/sysconfig/selinux


激活SELinux后

1)进程访问文件的安全上下文

    1)、进程的属主对文件的权限,通过

    2)、文件的type是否是进程domain的子集

        进程查看规则库,查看进程所属的domain是否被授权了能够访问文件所属type

            是:能访问

            否:被SELinux规则所拒绝,并记录至日志文件中 /var/log/audit.log,审计:在合理的使用范围内,进程对文件可执行的合理的操作

SELinux的规则库:
    规则:哪种域能访问哪种或哪些和类型内文件
        法无授权即禁止 --> 在SELinux规则库中没有定义的规则,均被禁止
进程如何访问非本域domain的文件?
    修改文件的type 属于进程domain即可

wKiom1mz_6CxLnfxAAAdbqmsdmY478.png


2)改变文件所属的域

wKioL1mz8j7DcRerAAAMximtTWI905.png


使用示例

wKiom1mz_DTwQUgKAAAeYlq1EjQ343.png

wKioL1mz_DSis3ydAABBWOIy1ss324.png


3)还原标签

wKiom1mz_JTj5robAAAWQqJTMmI406.png


使用示例

wKioL1mz_KbRnxK7AAB1UB72zBI888.png


4)设定程序功能开启或关闭

 默认对于某些程序的功能,相对安全级别较低的功能,将被SELinux自动被禁止,例如ftp的匿名用户:任何用户可以上传文件


获取程序功能sebool

  getsebool -a   所有程序功能 

  getsebool ftp_home_dir


设置程序功能

  setsebool [-P] sebool=value

    -P 永久有效,将修改的结果保存至策略库中 (需要一定时间:找到规则库,设定,转换为binary格式 )


  例如:

    setsebool ftp_home_dir 1

    setsebool ftp_home_dir 0


    setsebool ftp_home_dir on

    setsebool ftp_home_dir off