02-Linux網(wǎng)絡服務-SELinux管理

1、RHEL6_SELinux管理輕舞飛揚.1.SELinux概述SELinux(Security-Enhanced Linux) 是美國國家平安局NAS對于強迫訪問控制的實現(xiàn)，是 Linux上最出色的新平安子系統(tǒng)。NSA是在Linux社區(qū)的協(xié)助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在他的義務中所需求文件。SELinux provides a flexible Mandatory Access Control (MAC) system built into the Linux kernel. Under standard Linux Discretionary Ac

2、cess Control (DAC), an application or process running as a user (UID or SUID) has the users permissions to objects such as files, sockets, and other processes. Running a MAC kernel protects the system from malicious 有缺陷or flawed惡意 applications that can damage or destroy the system. .DAC vs MACDAC 主體

3、是用戶，訪問目的文件由文件本身的權(quán)限決議，依進程運轉(zhuǎn)時的用戶身份決議其訪問權(quán)限權(quán)限MAC主體是進程，訪問目的文件由戰(zhàn)略決議.SELinux的目的包裝比較脆弱的效力，相當于給效力加了一層平安殼，使效力運用起來更加平安。.SELinux任務原理SELinux添加了一個并行權(quán)限集全，其中每個進程經(jīng)過SELinux平安性上下文運轉(zhuǎn)，系統(tǒng)上的文件和其他資源也都設置了上下文標簽。與普通權(quán)限的不同之處在于可配置的SELinux戰(zhàn)略控制哪些進程上下文可以訪問哪些文件上下文。.2.SELinux的配置文件/etc/sysconfig/selinux# This file controls the state o

4、f SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.SELINUX=enforcing# SELINUXTYPE= can take one of these two values:# targeted - T

5、argeted processes are protected,# mls - Multi Level Security protection. SELINUXTYPE=targeted .3.SELinux的3種方式Enforcing強迫方式：默許方式，按照SELinux的戰(zhàn)略來進展驗證和管理系統(tǒng)平安。假設發(fā)現(xiàn)和SELinux的規(guī)定不相符合那么強迫阻止程序的運轉(zhuǎn)或者訪問，同時給出提示。Permissive允許方式：系統(tǒng)記錄一切違反戰(zhàn)略的行為并給與一定的提示，同時不中阻止程序的運轉(zhuǎn)。Disabled禁用方式：封鎖SELinux注：禁用的另一種方式：在啟動的時候，也可以經(jīng)過傳送參數(shù)selinux

6、給內(nèi)核來控制它kernel /vmlinuz-2.6.32-71.el6.x86_64 ro root=UUID=073f0cf8-201d-4981-bb2c-610c0d95e41f selinux=0.網(wǎng)頁無論放置在哪個目錄下都可以訪問，相關(guān)行為不記錄在LOG里.網(wǎng)頁無論放置在哪個目錄下都可以訪問，相關(guān)行為記錄在LOG里.網(wǎng)頁指定存放效力本身的根目錄下，可以訪問，并受selinux,相關(guān)行為記錄在LOG里.SELINUX SELinux任務形狀，可以設置為 enforcing，permissive或disabled。SELINUXTYPE 指定維護級別。默許是 targeted，僅作用于

7、daemons。另一個選擇是 mls 運用 SELinux進展全面維護。SELOCALDEFS 支持本地 SELinux 戰(zhàn)略。默許設置為 0即封鎖.設置selinux的方式getenforce：查詢當前的SELinux方式setenforce 0 |1 0:允許方式 1：強迫方式這將改動 /selinux/enforce 的布爾值.The SELinux Pseudo-File System.一切操作系統(tǒng)訪問控制都是以關(guān)聯(lián)的客體和主體的的某種類型的訪問控制屬性為根底的。在SELinux中，訪問控制屬性叫做平安上下文。一切客體文件、進程間通訊通道、套接字、網(wǎng)絡主機等和主體(進程)都有與其關(guān)聯(lián)的

8、平安上下文一個平安上下文由用戶、角色和類型標識符3部分組成。.Selinux的五種元素User:role:type:sensitivity:categoryUser_u:object_r:tmp_t:s0:c0.用戶user指登陸到系統(tǒng)的用戶類型；根用戶登陸，那么用戶類型就是root；其他用戶類型是user_u，即使是運用su命令提高訪問權(quán)限也還是user_u；進程類型是system_u。角色role定義某個文件、進程、或用戶的目的。文件角色是object_r；進程角色是system_r；用戶角色也是system_r；類型type“強迫類型用來指定文件或者進程中數(shù)據(jù)的性質(zhì)。戰(zhàn)略中的規(guī)那么指定那

9、個進程類型可以運用哪個文件類型。敏感性sensitivity:被政府、軍事等部門運用的平安級別。類別cagegory與組類似，但可以阻止root訪問的嚴密數(shù)據(jù)。備注：類型為unconfined_t得到進程是尚未被selinux限制的進程。.SELinux的主要訪問控制特性是類型強迫，平安上下文中的類型標識符決議了訪問權(quán).ls Z 查看文件的平安上下文ps -Z 查看進程的上下文id Z 查看用戶的上下文.chcon :改動某個文件或目錄的上下文配置chcon -R -u user_u -t public_content_rw_t /ftp默許的文件配置保管在 /etc/selinux/targ

10、eted/contexts/files/file_contexts 假設他進展了錯誤的操作，想使某個文件前往原來的 SELinux配置，可以運用 restorecon 命令根據(jù)存儲在 file_contexts 的配置進展恢復Restorecon v R /home/tony.chcon reference 對象1 對象2 把對象1的平安環(huán)境類型運用到對象2上cechcon reference=/var/www/html index.htmlchcon t tmp_t /path 修正目的對象的平安環(huán)境類型。.semanage新建一條規(guī)那么，指定/var/ftp/incoming目錄及其下的一

11、切文件的擴展屬性為public_content_rw_t semanage fcontext -a -t public_content_rw_t /var/ftp/incoming/.*驗證：semanage fcontext -l | grep incoming.SELinux 布爾值設置SELinux 戰(zhàn)略可以分為不同的類，一些于系統(tǒng)管理有關(guān)，一些關(guān)于效力,還有一些其他選項。他做的任何改動都對應這 /selinux/booleans 目錄下的布爾變量配置讓SELinux開啟維護某些程序或封鎖對些程序的某個工程的維護.selinux戰(zhàn)略的控制戰(zhàn)略文件位置/selinux/booleansge

12、tsebool 控制戰(zhàn)略 ：查看某個控制戰(zhàn)略啟用情況getsebool -arootserver # setsebool httpd_enable_cgi 1rootserver # getsebool httpd_enable_cgi httpd_enable_cgi - onsetsebool P 控制戰(zhàn)略 on|off-P表示一直；開啟或者封鎖某個戰(zhàn)略setsebool -P ftp_home_dir=1.監(jiān)視SELinux違反行為sealert a /var/log/audit /audit.log查看selinux錯誤日志semanage boolean -l 查看定義規(guī)那么grep avc /var/log/messages 看一些selinux相關(guān)信息.policycoreutils-guiSElinux