SELinux初学者指南

SELinux(Security Enhanced Linux)是美国国家安全局2000年发布的一种高级MAC(Mandatory Access Control,强制访问控制)机制,用来预防恶意入侵。SELinux在DAC(Discretionary Access Control,自主访问控制)的基础上实现了强制访问控制,比如读、写和执行权限。

SElinux有三种模式,分别是Enforcing, permissive, disabled。

1. Enforcing,强制模式。该模式下会基于policy规则拒绝某些访问。

2. Permissive宽容模式。

3. Disabled,该模式下会关闭SELinux。

修改模式的默认配置文件为/etc/selinux/config。

改变SELinux模式

setenforce 1 设置SELinux 成为enforcing模式

setenforce 0 设置SELinux 成为permissive模式

运行$ getenforce可以看到当前运行模式:

$ getenforce

运行下面的命令切换到Permissive 模式

$ setenforce 0

运行下面命令从permissive模式切换到enforcing模式

$ setenforce 1

如果想要关闭SELinux,可以通过配置文件修改。

$ vi /etc/selinux/config
SELINUX=disabled

配置Selinux

每个文件或进程用SELinux上下文环境上下文环境中含有SELinux用户、角色、类型等额外的信息。如果第一次开启SELinux,需要配置上下文环境和标签。配置修复label和上下文环境的过程叫做relabeling。在relabeling时,首先要切换到permissive模式。

$ vi /etc/selinux/config
SELINUX=permissive

模式切换到permissive时,会在目录/directory下创建一个隐藏的名为autorelabel的文件。

$ touch /.autorelabel

重启机器

$ init 6

注:选择用permissive模式而不是enforcing模式的原因是,enforcing模式下进行relabeling可能会造成系统奔溃。

Relabeling完成且系统重启后,可以更改到enforcing模式,并运行

$ setenforce 1

这样就成功地配置并开启SELinux了。

监控日志

为了确保SELinux的正常运行,需要对日志进行监控。SELinux的日志文件保存在/var/log/audit/audit.log,日志文件中有很多条记录,但是检查错误信息时不需要阅读全部日志,有一个简单的工具是audit2why,运行下面的命令

$ audit2why < /var/log/audit/audit.log

输出文件就是错误信息。如果没有错误,那么就不会有输出。 

设定Selinux策略

SELinux策略是指导SELinux安全引擎的规则集。策略定义了特殊上下文环境下的规则集,下面是改变策略来允许对拒绝的服务的访问。

1. Booleans

Booleans允许运行时对策略进行改变而不需要写策略。这允许在不重新加载或者编译SELinux策略的同时,实现变化。 

例1:

如果想要通过FTP分享用户home目录的读写权限,我们已经分享了该目录,但是尝试访问时看不到该目录。这是因为SELinux策略阻止了FTP守护进程在用户Home目录进行读写。我们需要对SELinux策略进行改变,这样FTP就可以访问home目录了。我们利用Booleans来完成这个功能。

$ semanage boolean –l

该命令会生成一系列可用的Booleans和对应的实时状态和描述。可以通过grep命令找出关于ftp的结果:

$ semanage boolean –l | grep ftp
ftp_home_dir        -> off      允许ftp在用户目录下进行读写状态

则是off的状态,我们用setsebool来开启

$ setsebool ftp_home_dir on

现在ftp守护进程就可以访问用户的Home目录了。

getsebool -a也可以获取可用的Booleans列表,但是不会显示Boolean的描述。

2. Labelling &Context

这是在服务器上实施SElinux策略的最常用方法。每个文件、文件夹、进程、端口都被SELinux context标记。

对于文件和文件夹,标签是以文件系统的扩展属性存储的,可以通过下面的命令进行查看

$ ls –Z /etc/httpd

对于进程和端口,kernel负责管理标签,同样地,可以通过下面的命令查看对应的标签:

$ ps –auxZ | grephttpd (for process)
$ netstat –anpZ | grephttpd (for port)

例2:

我们有一个web服务器,文件目录是/home/dan/html而不是默认的/var/www/html,这样SELinux就会认为违反了策略,这样就不能访问web页面。这是因为还没有设定与html文件相关的安全上下文环境。可以用下面的命令来检查html文件的默认安全上下文环境;

$ ls –lz /var/www/html
 -rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/

上面就是我们得到的html文件的安全上下文环境httpd_sys_content_t。同时需要设定当前目录 安全上下文环境为–rw-r—r—. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/。

另一个检查文件或者目录的安全上下文环境的命令为:

$ semanage fcontext -l | grep ‘/var/www’

当我们找到正确的安全上下文环境时,semanage命令同样可以用来改变安全上下文环境。可以用下面的semanage命令来改变/home/dan/html的安全上下文环境:

$ semanage fcontext -a -t httpd_sys_content_t ‘/home/dan/html(/.*)?’
$ semanage fcontext -l | grep ‘/home/dan/html’
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html

一旦semange操作改变了安全上下文环境,restorecon就会加载文件和目录的默认上下文环境。Web服务器就可以从/home/dan/html文件夹读取文件,同时,文件的安全上下文环境就变成http_sys_content_t了。

3. 创建本地策略

如果上面的访问不能生效,而且audit.log中出现错误消息。当这种情况出现的话,我们需要创建本地策略来解决那些错误信息。同时,可以用上面提到的audit2why查看错误信息。当获取错误后,就可以创建本地策略(Local policy)来解决这些错误。比如,我们获取了httpd或smbd错误,我们可以用grep查找错误信息,并创建安全策略。

$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy (for apache)
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy (for samba)

下面的http_policy和smb_policy是本地策略的名字。现在我们必须加载那些创建的本地策略到当前SELinux策略中,可以用semodule命令完成这个功能。

$ semodule –I http_policy.pp
$ semodule –I smb_policy.pp

这样本地策略就加载了,audit.log中也就不会有错误信息了。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏PHP实战技术

20条Linux命令面试问答

问:1 如何查看当前的Linux服务器的运行级别?   答: ‘who -r’ 和 ‘runlevel’ 命令可以用来查看当前的Linux服务器的运行级别。 ...

3338
来自专栏IT笔记

JavaWeb项目架构之NFS文件服务器

当用户A通过互联网上传文件时,经过负载均衡,随机或者定向分配到某个节点。但是当用户B去下载这个文件的时候,并不确定会向哪个节点发送请求,这样会导致用户存在一定几...

5439
来自专栏鸿的学习笔记

日志采集技术笔记

使用Linux的rename机制保证文件写入要么成功,要么失败,绝对不能出现写了一半的情况。

3225
来自专栏云计算教程系列

如何在CentOS 7上编写自定义系统审计规则

Linux审计系统创建审计跟踪,这是一种跟踪系统上各种信息的方法。它可以记录大量数据,如事件类型,日期和时间,用户ID,系统调用,进程,使用的文件,SELinu...

5102
来自专栏技术博文

LNMP源码编译安装(centos7+nginx1.9+mysql5.6+php7)

1.准备工作: 1)把所有的软件安装在/Data/apps/,源码包放在/Data/tgz/,数据放在/Data/data,日志文件放在/Data/logs,项...

4106
来自专栏Java学习123

Linux NFS服务器的安装与配置

4767
来自专栏程序小工

【Linux】系统学习Crontab定时任务

crontab 是一个用于设置周期性执行任务的工具。目前服务器端的运行环境大多数为 Linux,在日常的运营和维护中会有很多需要定期执行的操作,其中有些操作是可...

1452
来自专栏程序员叨叨叨

一招搞定Windows无法安装到GPT分区形式磁盘疑难

今天给堂弟的电脑重装系统时,遇到了以往USB安装系统经常出现的问题,“Windows无法安装到这个磁盘。选中的磁盘采用GPT分区形式”。之前在CSDN的博客上有...

702
来自专栏Flutter入门到实战

React Native初探--从安装运行首个app到填坑指南

好多人说rn好用,一直要推荐我用,我就不信了,来安装玩一下试试效果。实践出真知!安装过程各种坑,工具太多了,太麻烦了,差点放弃(还好坚持下来呢)。

1713
来自专栏转载gongluck的CSDN博客

搭建 FTP 文件服务

安装并启动 FTP 服务 任务时间:5min ~ 10min 安装 VSFTPD 使用 apt-get 安装 vsftpd: sudo apt-get in...

9597

扫码关注云+社区

领取腾讯云代金券