带你深入了解SElinux

找不到分类 evilven 3周前 (03-31) 10次浏览 未收录 0个评论 扫描二维码

带你深入了解SElinux

纯手工打造每一篇开源资讯与技术干货,数十万程序员和Linuxer已经关注。

Linux技术交流QQ群:915246(七月份最新!!)

安全增强式Linux(SELinux, Security-Enhanced Linux)是一种强制访问控制(mandatory access control)的实现。

概念
  Linux的一个强制访问控制的安全模块
  DAC:Discretionary Access Control 自由访问控制  MAC:Mandatory Access Control 强制访问控制
     DAC环境下进程是无束缚的     
     MAC环境下策略的规则决定控制的严格程度     
     MAC环境下进程可以被限制的
     策略被用来定义被限制的进程能够使用那些资源(文件和端口)
     默认情况下,没有被明确允许的行为将被拒绝

SELinux有四种工作类型  
strict: centos5,每个进程都受到selinux的控制  
targeted: 用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程,centos4只保护13个服务,centos5保护88个服务  
minimum:centos7,修改的targeted,只对选择的网络服务  
mls:提供MLS(多级安全)机制的安全性    

targeted为默认类型,minimum和mls稳定性不足,未加以应用,strict已不再使用

SELinux安全上下文
  传统Linux,一切皆文件,由用户,组,权限控制访问
  在SELinux中,一切皆对象(object),由存放在inode的扩展属性域的安全元素所控制其访问
  所有文件和端口资源和进程都具备安全标签:安全上下文(security context)(socket=ip:port)
  安全上下文有五个元素组成    
  user:role:type:sensitivity:category    
  user_u:object_r:tmp_t:s0:c0
  实际上下文:存放在文件系统中,ls –Z; ps –Z
  期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中
    semanage fcontext –l

ll -Z /var/log/messages
semanage fcontext -l | grep "/var/log/messages"

五个安全元素
  User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程
  Role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r
  *Type:指定数据类型,规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用:public_content_t
  Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0
  Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy,c0-c1023共1024个分类,Target 策略不使用category

SELinux策略
  对象(object):所有可以读取的对象,包括文件、目录和进程,端口等
  主体:进程称为主体(subject)  SELinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋予各自的一个domain的标签;domain标签能够执行的操作由安全策略里定义
  当一个subject试图访问一个object,Kernel中的策略执行服务器将检查AVC (访问矢量缓存Access Vector Cache), 在AVC中,subject和object的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问
  安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的,并且定义了哪种行为是充许或拒绝

配置SELinux  
SELinux是否启用  
给文件重新打安全标签
给端口设置安全标签
设定某些操作的布尔型开关  
SELinux的日志管理

一、启用和禁用selinux

SELinux的状态  enforcing:强制,每个受限的进程都必然受限
  permissive:允许,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
  disabled:禁用

相关命令  getenforce: 获取selinux当前状态  sestatus: 查看selinux状态
  setenforce 0|1 (不能切换至disabled)    0: 设置为permissive    1: 设置为enforcing

配置文件
  /boot/grub/grub.conf    使用selinux=0禁用SELinux  /etc/sysconfig/selinux (软连接)--- /etc/selinux/config  SELINUX={disabled|enforcing|permissive}

cd /sys/fs/selinux

带你深入了解SElinux

cd /etc/selinux/

带你深入了解SElinux

二、文件标签更改

给文件重新打安全标签
  chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
  chcon [OPTION]... --reference=RFILE FILE...
   -R:递归打标;
恢复目录或文件默认的安全上下文
  restorecon [-R] /path/to/somewhere

Semanage:来自policycoreutils-python包
查看默认的安全上下文
  semanage fcontext –l
添加安全上下文
  semanage fcontext -a –t httpd_sys_content_t "/testdir(/.*)?"
  restorecon –Rv /testdir
删除安全上下文
  semanage fcontext -d –t httpd_sys_content_t "/testdir(/.*)?"

vim /etc/selinux/config

带你深入了解SElinux

设置为disabled
命令 setenforce 1|0 不能切换
此时创建新文件,没有selinux标签,重启后,会自动加载selinux标签;

带你深入了解SElinux

禁用SELinux
sed -ri.bak 's/^(SELINUX=).*/1disabled/' /etc/selinux/config (备份文件——原内容)
sed -ri.bak '/^SELINUX=/s/.*/SELINUX=disabled/' /etc/selinux/config

实验ll -Z /var/log/messages 实际上下文
tail -f /var/log/messages 在另一个终端,查看日志更改记录
标签更改后,图形界面会出现提示;
semanage fcontext -l | grep "/var/log/messages" 默认上下文
chcon -t var_log_t /var/log/messages (前提:知道标签——利用默认标签)
restorecon -R /var/log/messagessystemctl restart rsyslog.service 重启日志服务
标签错误,就会导致某个资源不能被访问;

带你深入了解SElinux

实验1 centos6.9无报警提示:需要安装软件包
  yum -y install setroubleshoot
    rpm -q httpd 此包可以做web网站
    ll -dZ /var/www/html web网站对应的主页文件放在此目录下2 mkdir /app/website3 vim /app/website/index.html:<h1> Test Page </h1>4 vim /etc/httpd/conf/httpd.conf 更改web服务对应的配置文件(如下图)
  搜索(/)DocumentRoot5 service httpd restart 重启服务
  iptables -vnL; iptables -F
  打开网站,访问ip地址:192.168.128.136;标签错误,不能访问;6 semanage fcontext -a –t httpd_sys_content_t "/app/website(/.*)?" 根据实际标签,添加安全上下文
  ll -dZ /var/www/html 实际标签
  ll /etc/selinux/targeted/contexts/files/ 观察文件时间,是否成功更改
  semanage fcontext -l | grep "/app" 是否成功添加到安全上下文
  ll -dZ /app/wbsite7 restorecon –Rv /app/website/ 恢复默认(安全上下文策略)8 chcon -R --reference=/var/www/html /app/wbsite 参考前面的目录标签建立后面的目录标签   6和7相当于89 访问ip地址:192.168.128.136;可以访问;10 semanage fcontext -d –t httpd_sys_content_t "/app/website(/.*)?" 删除安全上下文,只是删除默认列表(策略)中的相关内容,未删除此目录的标签

带你深入了解SElinux

三、端口标签更改

查看端口标签
  semanageport –l
添加端口
  semanage port -a -t port_label -p tcp|udp PORT
  semanage port -a -t http_port_t -p tcp 9527删除端口
  semanage port -d -t port_label -p tcp|udp PORT
  semanage port -d -t http_port_t -p tcp 9527修改现有端口为新标签
  semanageport -m -t port_label -p tcp|udp PORT
  semanageport -m -t http_port_t -p tcp 9527 (更改端口,需要此端口被其他服务使用,否则就会失败)

socket=ip:port

实验
vim /etc/httpd/conf/httpd.conf 更改端口(搜索Listen)
service httpd restart 启动服务失败,图形界面出现报警提示
  ss -ntl 没有发现目标端口
  semanage port -l | grep http 查看服务的默认端口值
semanage port -a -t http_port_t -p tcp 9527 添加端口
  semanage port -l | grep http
service httpd restart
  ss -ntl
cp /app/website/index.html /var/www/html (上面实验的/app/website)
访问ip地址:192.168.128.136:9527;如果不加 :9527,默认访问80端口;

带你深入了解SElinux

带你深入了解SElinux

带你深入了解SElinux

四、布尔值的状态(0、1)

策略中的服务安全与否:安全——允许1、不安全——拒绝0)
cd /sys/fs/selinux/booleans/

带你深入了解SElinux

布尔型规则
  getsebool
  setsebool
查看bool命令:  getsebool [-a] [boolean]  当前状态值
    getsebool -a | grep httpd_enable (ssh|ftp)
  semanage boolean –l
  semanage boolean -l –C 查看修改过的布尔值
设置bool值命令:  setsebool [-P] booleanvalue(on,off)(-P 更改所有状态;不加 -P 更改当前状态)
  setsebool [-P] Boolean=value(1,0)

带你深入了解SElinux

五、查日志

yum install setroubleshoot(重启生效)
  将错误的信息写入/var/log/message
grep setroubleshoot /var/log/messages
sealert -l UUID
  查看安全事件日志说明
sealert -a /var/log/audit/audit.log
  扫描并分析日志
sealert 图形界面显示出警告标签

六、selinux管理

yum –y install selinux-policy-devel ( centos7.2)
yum –y install selinux-policy-doc
mandb(centos7) | makewhatis(centos6) 更新数据库
man -k _selinux
man -k _selinux | grep ftp

原文来自:  http://www.jianshu.com/p/79bd70d3dc7b

带你深入了解SElinux

让您学习到的每一节课都有所收获

《Linux就该这么学》是由资深运维专家刘遄及全国多名红帽架构师(RHCA)基于最新RHEL7系统共同编写的高质量Linux技术自学教程,极其适合用于Linux技术入门教程或讲课辅助教材。

☀ 刘遄老师QQ:5604241  微信:gnu_chuan

☀ 学员助教QQ:5604674

 Linux技术交流A群(满):560843

☀ Linux技术交流B群:340829

☀ Linux技术交流C群:463590

☀ Linux技术交流D群:915246

☀ Linux技术交流E群:1663106

☀ Linux技术交流F群:1653851

☀ Linux技术交流G群:2632018(新群,火热加群中……

☀ 官方站点:http://www.linuxprobe.com

☀ 电脑在线阅读效果更佳:

http://www.linuxprobe.com/chapter-00.html

带你深入了解SElinux

按住图片3秒,即可自动关注。

点击左下角查看更多热门技术


Hacking For Fun , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:带你深入了解SElinux
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址