系统管理之Selinux详解

SELinux:

SELinux概念
SELinux配置
启用SELinux
管理文件安全标签
管理端口标签
管理SELinux布尔值开关
管理日志
查看SELinux帮助

SELinux概述

SELinux: Secure Enhanced Linux, 是美国国家安全局「NSA=The National Security Agency」 和SCC( SecureComputing Corporation)开发的
SELinux是Linux的一个强制访问控制的安全模块。工作于内核中, 2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中
Linux有自己的控制机制:
    DAC: Discretionary Access Control 自由访问控制
SELinux引入新的访问控制机制:
    MAC: Mandatory Access Control 强制访问控制
        • DAC环境下进程是无束缚的
        • MAC环境下策略的规则决定控制的严格程度
        • MAC环境下进程可以被限制的
        • 策略被用来定义被限制的进程能够使用那些资源(文件和端口)
        • 默认情况下,没有被明确允许的行为将被拒绝


SELinux有四种工作类型:
    strict: 每个进程都受到selinux的控制(centos5)
    targeted: 用来保护常见的网络服务,仅有限个进程受到selinux控制,只监控容易被入侵的进程,     rhel4只保护13个服务,rhel5保护88个服务
    minimum: centos7,修改过的targeted,只对选择的网络服务
    mls:提供MLS(多级安全)机制的安全性
        minimum和mls稳定性不足,未加以应用

SElinux安全上下文
    传统Linux,一切皆文件,由用户,组,权限控制访问
    在SELinux中,一切皆对象,由存放在Inode的扩展属性域的安全元素所控制其访问。
    所有文件和端口资源和进程都具备安全标签:安全上下文” ( security context)

    安全上下文有五个元素组成:
     user:role:type:sensitivity:category
     user_u:object_r:tmp_t:s0:c0

    实际上下文:存放在文件系统中, 
        查看安全上下文命令:
        ls –Z;ps –Z
    期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中
        查看命令: semanage fcontext –l
    selinxu规则库:
        规则:哪种域能访问那种或那些种类型的文件

SELinux的五个安全因素
    User:指示登录系统的用户类型,如root, user_u,system_u,多数本地进程都属于自由( unconfined)进程
    Role:定义文件,进程和用户的用途:文件:object_r,进程和用户: system_r
    Type:指定数据类型,规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用: public_content_t
    Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified, secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级, s0最低,Target策略默认使用s0
    Category:对于特定组织划分不分层的分类,如FBI Secret, NSA secret, 一个对象可以有多个categroy, c0-c1023共1024个分类, Target 策略不使用cateaory

SElinux配置

SELinux是否启用
给文件重新打标
给端口设置安全标签
设定某些操作的布尔型特性
SELinux的日志管理        


1、SELinux的状态:
   ·enforcing:强制,每个受限的进程都必然受限
   ·permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
   ·disabled:关闭

   ·相关命令:        
      sestatus
         查看selinux的状态
      getenforce:获取当前selinux状态
      setenforce 0|1  修改selinux状态
                 0:设置为permissive
                 1:设置为enforcing
             注意:此设定:重启系统后无效

    配置文件:
        /etc/selinux/config,/etc/sysconfig/selinux
              SELinux={disabled|permissive|enforcing}
        /boot/grub/grub.conf
              在kernel行追加内核参数:使用selinux=0禁用SELinux

        设置selinux也可以在开机的时候设定,在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用,最后selinux的状态为禁用

        注意:在从disabled状态切换至enforcing或permissive状态需要重启系统,这时候系统会对每一个文件一一重打标签,需要花费一定的时间。


  2、给配置文件重新打标:
      chcon
         chcon [OPTION]… CONTEXT FILE…
         chcon [OPTION]… [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE…
         chcon [OPTION]… –reference=RFILE FILE…
             OPTION: -R 递归打标,对目录而言
        例如:我想给自己定义的web文档根目录自定义为/htdocs
                chcon -R   httpd_sys_content_t   /htdocs
  3、还原文件的默认标签(默认安全上下文):
         restorecon [-R] /path/to/somewhere
         例如:我又将web的文档根目录改为原来的目录,这时候自定义的目录的标签需要还原
            restorecon  -R   /htdocs     

            恢复是根据策略库当中的策略进行还原


  4、默认安全上下文查询与修改
       ·需要用到的包:semanage命令来自policycoreutils-python包

       ·查看默认的安全上下文
             semanage fcontext –l

系统管理之Selinux详解

       ·添加安全上下文
            semanage fcontext -a –t httpd_sys_content_t '/testdir(/.*)?'
            restorecon –Rv /testdir

        ·删除安全上下文
             semanage fcontext -d –t httpd_sys_content_t '/testdir(/.*)?'

        ·查看端口标签
            semanage port –l

系统管理之Selinux详解

         ·添加端口
              semanage port -a -t port_label -p tcp|udp PORT
              semanage port -a -t http_port_t -p tcp 9527

          ·删除端口
               semanage port -d -t port_label -p tcp|udp PORT
               semanage port -d -t http_port_t -p tcp 9527

          ·修改现有端口为新标签
               semanage port -m -t port_label -p tcp|udp PORT
               semanage port -m -t http_port_t -p tcp 9527                

    5、布尔型规则:
         getsebool
         setsebool

         ·查看bool值命令:
            getsebool [-a] [boolean]
            semanage boolean –l
            semanage boolean -l –C

系统管理之Selinux详解

         ·设置bool 值命令:
            setsebool [-P] boolean value (on,off)

            setsebool [-P] Boolean=value (0 ,1)

    6、SELinux日志管理:
         需要安装settroublesshoot*,安装此包需要重启系统才能生效,它会将错误日志记录到/var/log/message
         安装包:yum install setroublesshoot* (重启生效)

         将错误的信息写入/var/log/message
            grep setroubleshoot /var/log/messages

            sealert -l UUID
                查看安全事件日志说明

            sealert -a /var/log/audit/audit.log
                扫描并分析日志

系统管理之Selinux详解
7、SELinux帮助:
yum -y install selinux-policy-devel (centos7)
yum -y install selinux-policy-doc (centos6)
mandb | makewhatis 需要更新man帮助的数据才能查询
man -k _selinux

总结:selinux在安全防护上确实起到了一定的作用,它是在内核层面来工作,往往有许多的漏洞,一旦黑客利用漏洞入侵系统后果不堪设想,还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux ,一般都会使用硬件的安全防护设备,所以我们只需要作为了解,知道有这么个东西,如何开关闭及一些简单的操作即可。

实战演练

1、启用SELinux策略并安装httpd服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,使网站可访问

vim /etc/selinux/config
SELINUX=disabled
reboot 重启才生效

systemctl status httpd
yum -y install httpd
systemctl start httpd
netstat -tnl
iptalbes -F

mkdir /website
ll -Z /website/ -d
vim /etc/httpd/conf/httpd.conf
Document Root "/website/"
<Directory "/website">
systemctl restart httpd
systemctl status httpd
echo mywebsite > index.html 
semanage fcontext -l |grep website
semanage fcontext -a -t httpd_sys_content_t "/website(/.*)?"
ll -Z /website/ -d
restorecon -R /website/



2、修改上述网站的http端口为9527,增加SELinux端口标签,使网站可访问



vim /etc/httpd/conf/httpd.conf
Listen 9527
semanager port -l|grep 9527
vim /etc/httpd/conf/httpd.conf
netstat -ntl
httpd -t 检查语法
systemctl restart httpd
semanger port -a -t http_port_t -p tcp 9527
iptables -F



3、启用相关的SELinux布尔值,使上述网站的用户student的家目录可通过http访问



在CentOS 7上
vim /etc/httpd/conf.d/usrdir.conf
#UserDir disabled
UserDir public_html
systemctl restart httpd
su -student
mkdir public_html
echo welcome to studenthome > index.html
links x.x.x.x/~student 访问家目录
ll -d /home/student
ps aux|grep http
setfacl -m u:apache:x /home/student



在CentOS 6上
vim /etc/httpd/conf/httpd.conf
#UserDir disabled
UserDir public_html
service httpd restart
iptables -F
su -student
mkdir public_html
cd public html
echo studenthomecentos6 > index.html
cd
chmod 711 /home/wang
ll -d /home/wang/

原创文章,作者:wencx,如若转载,请注明出处:http://www.178linux.com/48216

(0)
wencxwencx
上一篇 2016-09-21 12:48
下一篇 2016-09-21 13:28

相关推荐

  • http协议

    Web Service概述 web服务时一种应用程序的服务,它所提供的最主要的信息是一种超文本标记语言(HTML)、多媒体资源(如:视频、图片、音乐等)。HTML是一种纯文字的文本信息,通过所谓的标签来规范所要显示的内容格式,在客户端通过浏览器的形式对HTML及多媒体资源进行解析,然后呈现在终端上。主要由http和https协议实现 http协议概述 HTT…

    Linux干货 2016-10-28
  • Nginx+Keepalived实现站点高可用

    Nginx+Keepalived实现站点高可用 vrrp 虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引…

    Linux干货 2016-11-07
  • 时间、screen、echo等——Linux基本命令(5)

    1.     时间 (1)查询时间: date          +%F  年月日          +%T  时分秒  &nbs…

    2017-07-13
  • 以洪荒之力打开linux德·摩根定律

    德·摩根定律让学习liunx的小伙伴绕得头疼,现在我就用洪荒之力为大家理顺一下这个定律。 由图片可以看出, A=4+3 B=3+2 非A=2+1 非B=4+1 A且B就是代表既是A又是B的地方,A和B都有色块3,所以色块3代表了A且B 同时,我们再看A=4+3 ,B=3+2,我们可以推断出,且运算的结果就是两个算数式中重复的数字。 A且B=3 A或B就是代表…

    Linux干货 2016-08-15
  • ansible学习笔记之1

    ansible学习笔记之1 ansible学习笔记之1 ansible 基础 ad-hoc 基础概念 ansible学习笔记之1 说说运维工具的类型 > 运维工具按是否需要有代理程序来划分分为两类:      agent(需要代理工具):          基于专用的age…

    2016-11-21
  • Linux 任务计划、周期性任务执行

    Linux 任务计划、周期性任务执行 概述:      什么是任务计划呢?就像我们每个人日常生活中都会使用到的闹钟一样,按时的去提醒该去做什么事情,以免忘记。同样,我们在工作当中也要在每天在特定的时间内安排做一些事情,这就是任务计划,本章将学习如何制定Linux系统的任务计划,这里主要包括两种工具:at和crontab…

    Linux干货 2016-09-11