2024年5月28日发(作者:)
Selinux学习
学习目标:
学习和掌握selinux相关管理命令。
学习效果:
学会使用基础常用的selinux命令,来实现对selinux服务的管理和应用。
一、SELinux简介
SELinux的全称是Security-Enhanced Linux,是由美国国家安全局NSA开
发的访问控制体制。SELinux可以最大限度地保证Linux系统的安全。
至于它的作用到底有多大,举一个简单的例子可以证明:没有SELinux保护的
Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,
安全级别则可以达到B1级。如:我们把/tmp目录下的所有文件和目录权限设置
为0777,这样在没有SELinux保护的情况下,任何人都可以访问/tmp 下的内容。
而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,但SELinux的
安全策略会继续检查你是否可以访问。
NSA推出的SELinux安全体系结构称为 Flask,在这一结构中,安全性策略的逻
辑和通用接口一起封装在与操作系统独立的组件中,这个单独的组件称为安全服
务器。SELinux的安全服务器定义了一种混合的安全性策略,由类型实施 (TE)、
基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器,可
以支持不同的安全策略。SELinux使用策略配置语言定义安全策略,然后通过
checkpolicy 编译成二进制形式,存储在文件(如目标策略
/etc/selinux/targeted/policy/policy.18)中,在内核引导时读到内核空间。
这意味着安全性策略在每次系统引导时都会有所不同。
SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)
策略。有限策略仅针对部分系统网络服务和进程执行SELinux策略,而严厉策略
是执行全局的NSA默认策略。有限策略模式下,9个(可能更多)系统服务受
SELinux监控,几乎所有的网络服务都受控。
配置文件是/etc/selinux/config,一般测试过程中使用“permissive”模式,
这样仅会在违反SELinux规则时发出警告,然后修改规则,最后由用户觉得是否
执行严格“enforcing”的策略,禁止违反规则策略的行为。 规则决定SELinux
的工作行为和方式,策略决定具体的安全细节如文件系统,文件一致性。
二、使用设置
在 GUI 图形界面模式下,要更改 SELinux 的策略使用方式,只需依次点击“应
用程序”,“系统设置”,“安全级别”;然后在“安全级别配置”对话框的“SELinux”
标签页中即可简单进行设置。或者直接在控制台窗口输入
“system-config-securitylevel”来打开“安全级别”设置窗口。在“SELinux”
选项页中,我们不但可以设置“启用”或者“禁用”SELinux,而且还可以对已
经内置的SELinux策略进行修改。
命令行模式下如何更改 SELinux 的策略使用方式呢?它并没有像防火墙那样方
便而直观的“system-config-securitylevel-tui”工具可用。
1) 查看当前模式:
# getenforce
permissive
2) Permissive
或者更详细些,包含配置文件中的设定值:
# sestatus | grep -i mode
Current mode: permissive
Mode from config file: permissive
3) 改变当前模式(立即生效),但重启后又回到配置文件中的设定模式。
设为强制模式
# setenforce 1
# sestatus | grep -i mode
Current mode: enforcing
Mode from config file: permissive
设为警告模式
# setenforce 0
# sestatus | grep -i mode
Current mode: permissive
Mode from config file: permissive
4) 当系统重启后,为了使 SELinux 的模式为自己所期望的值,需要编辑配
置文件。
比如,要将 Enforcing(强制) 改为 warn(警告)模式,可编辑
# vi /etc/selinux/config
将其中的
SELINUX=enforcing
改为:
SELINUX=permissive
如果当前 SELinux 已启用,要禁用 SELinux,你需要编辑
/etc/selinux/config,并重启系统。反之亦然,但是要注意,启用时 SELINUX 的
值是 enforcing 或 permissive 而不是 enabled!
5) 禁用 SELinux:
# vi /etc/selinux/config
SELINUX=disabled
那要如何才能知道当前的状态呢?执行下面的命令:
# selinuxenabled;echo $?
结果返回0,表示启用;返回-256,表示禁用。
6) 文件相关命令:
ls -Z
ps -Z
id -Z
分别可以看到文件,进程和用户的SELinux属性。
chcon 改变文件的SELinux属性。
三、案例分析
案例1:运行程序时日志文件报“/opt/AssetSuite/Agent/bin/:
cannot restore segment prot after reloc: Permission denied”
问题分析:selinux禁止了so库的调用。
解决方法:
1)关闭selinux
2)改变库文件的上下文
chcon -t texrel_shlib_t /opt/AssetSuite/Agent/bin/
案例2:Apache - "Document root must be a directory" 问题?
有可能和这个问题并发的问题还有 403 Forbidden 禁止访问的问题。
1)现象描述:
不使用系统默认的 /var/www/html作为系统的Document Root,自己新建一个目
录后修改/etc/httpd/conf/ 中的配置,然后重起Apache的Daemon,
发现Apache无法起动,系统报错:Document root must be a directory。但是,
我们设置的DocumentRoot 的确是一个目录,而且apache用户具有可读权限。
另一种情况:新建一个虚拟目录或文件后,无法访问,显示 Forbidden, 403
Error,但文件或目录有可读权限。
2)问题产生的原因:
一开始想来想去想不出为什么,但是给我感觉是权限的问题,用传统的Linux
的思维方式来看,权限绝对没有问题。但是仔细一想,SELinux是不是会有其他
安全的设定?
检查 avcmessage,查看 /var/log/messages文件,发现有类似以下内容的这样
一段:
Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:
denied{ getattr } forpid=19029 exe=/usr/sbin/httpd
path=/var/www/html/ dev=dm-0 ino=373900
scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t
tclass=file
问题找到了,果然是SELinux的新特性搞的鬼。我把目录或文件设成了
user_home_t类型,因此apache的进程没有权限,无法访问。针对Apache的进
程所使用的SELinux target policy规定了apache的进程只能访问
httpd_sys_content_t类型的目录或文件。
3)解决办法:
把目录或文件的策略类型改成 httpd_sys_content_t 就可以了。
# chcon -t httpd_sys_content_t [file_name | dir_name]
然后可以用 ls -laZ 命令查看文件目录的策略类型。
发布评论