02-Linux網(wǎng)絡(luò)服務(wù)-SELinux管理-v10_第1頁(yè)
02-Linux網(wǎng)絡(luò)服務(wù)-SELinux管理-v10_第2頁(yè)
02-Linux網(wǎng)絡(luò)服務(wù)-SELinux管理-v10_第3頁(yè)
02-Linux網(wǎng)絡(luò)服務(wù)-SELinux管理-v10_第4頁(yè)
02-Linux網(wǎng)絡(luò)服務(wù)-SELinux管理-v10_第5頁(yè)
已閱讀5頁(yè),還剩28頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

RHEL6__SELinux管理輕舞飛揚(yáng)1.SELinux概述SELinux(Security-EnhancedLinux)是美國(guó)國(guó)家安全局(NAS)對(duì)于強(qiáng)制訪問(wèn)控制的實(shí)現(xiàn),是Linux上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開(kāi)發(fā)了一種訪問(wèn)控制體系,在這種訪問(wèn)控制體系的限制下,進(jìn)程只能訪問(wèn)那些在他的任務(wù)中所需要文件。SELinuxprovidesaflexibleMandatoryAccessControl

(MAC)systembuiltintotheLinuxkernel.UnderstandardLinuxDiscretionaryAccessControl(DAC),anapplicationorprocessrunningasauser(UIDorSUID)hastheuser‘spermissionstoobjectssuchasfiles,sockets,andotherprocesses.RunningaMACkernelprotectsthesystemfrommalicious(有缺陷)orflawed(惡意)applicationsthatcandamageordestroythesystem.DACvsMACDAC

主體是用戶,訪問(wèn)目標(biāo)文件由文件本身的權(quán)限決定,依進(jìn)程運(yùn)行時(shí)的用戶身份決定其訪問(wèn)權(quán)限權(quán)限MAC

主體是進(jìn)程,訪問(wèn)目標(biāo)文件由策略決定SELinux的目的包裝比較脆弱的服務(wù),相當(dāng)于給服務(wù)加了一層安全殼,使服務(wù)使用起來(lái)更加安全。SELinux工作原理SELinux增加了一個(gè)并行權(quán)限集全,其中每個(gè)進(jìn)程通過(guò)SELinux安全性上下文運(yùn)行,系統(tǒng)上的文件和其他資源也都設(shè)置了上下文標(biāo)簽。與普通權(quán)限的不同之處在于可配置的SELinux策略控制哪些進(jìn)程上下文可以訪問(wèn)哪些文件上下文。2.SELinux的配置文件/etc/sysconfig/selinux#ThisfilecontrolsthestateofSELinuxonthesystem.#SELINUX=cantakeoneofthesethreevalues:#enforcing-SELinuxsecuritypolicyisenforced.#permissive-SELinuxprintswarningsinsteadofenforcing.#disabled-NoSELinuxpolicyisloaded.SELINUX=enforcing#SELINUXTYPE=cantakeoneofthesetwovalues:#targeted-Targetedprocessesareprotected,#mls-MultiLevelSecurityprotection.SELINUXTYPE=targeted3.SELinux的3種模式Enforcing強(qiáng)制模式:默認(rèn)模式,按照SELinux的策略來(lái)進(jìn)行驗(yàn)證和管理系統(tǒng)安全。如果發(fā)現(xiàn)和SELinux的規(guī)定不相符合則強(qiáng)制阻止程序的運(yùn)行或者訪問(wèn),同時(shí)給出提示。Permissive允許模式:系統(tǒng)記錄所有違反策略的行為并給與一定的提示,同時(shí)不中阻止程序的運(yùn)行。Disabled禁用模式:關(guān)閉SELinux

注:禁用的另一種方式:在啟動(dòng)的時(shí)候,也可以通過(guò)傳遞參數(shù)selinux給內(nèi)核來(lái)控制它kernel/vmlinuz-2.6.32-71.el6.x86_64roroot=UUID=073f0cf8-201d-4981-bb2c-610c0d95e41fselinux=0網(wǎng)頁(yè)無(wú)論放置在哪個(gè)目錄下都可以訪問(wèn),相關(guān)行為不記錄在LOG里網(wǎng)頁(yè)無(wú)論放置在哪個(gè)目錄下都可以訪問(wèn),相關(guān)行為記錄在LOG里網(wǎng)頁(yè)指定存放服務(wù)本身的根目錄下,可以訪問(wèn),并受selinux,相關(guān)行為記錄在LOG里SELINUX<-------->SELinux工作狀態(tài),可以設(shè)置為enforcing,permissive或disabled。SELINUXTYPE<-------->指定保護(hù)級(jí)別。默認(rèn)是targeted,僅作用于daemons。另一個(gè)選擇是mls使用SELinux進(jìn)行全面保護(hù)。SELOCALDEFS<-------->支持本地SELinux策略。默認(rèn)設(shè)置為0(即關(guān)閉)設(shè)置selinux的模式getenforce:查詢當(dāng)前的SELinux模式setenforce0|1 0:允許模式1:強(qiáng)制模式

這將改動(dòng)/selinux/enforce的布爾值TheSELinuxPseudo-FileSystem所有操作系統(tǒng)訪問(wèn)控制都是以關(guān)聯(lián)的客體和主體的的某種類型的訪問(wèn)控制屬性為基礎(chǔ)的。在SELinux中,訪問(wèn)控制屬性叫做安全上下文。所有客體(文件、進(jìn)程間通信通道、套接字、網(wǎng)絡(luò)主機(jī)等)和主體(進(jìn)程)都有與其關(guān)聯(lián)的安全上下文一個(gè)安全上下文由用戶、角色和類型標(biāo)識(shí)符3部分組成。Selinux的五種元素User:role:type:sensitivity:categoryUser_u:object_r:tmp_t:s0:c0用戶(user)指登陸到系統(tǒng)的用戶類型;根用戶登陸,則用戶類型就是root;其他用戶類型是user_u,即便是使用su命令提高訪問(wèn)權(quán)限也還是user_u;進(jìn)程類型是system_u。角色(role)定義某個(gè)文件、進(jìn)程、或用戶的目的。文件角色是object_r;進(jìn)程角色是system_r;用戶角色也是system_r;類型(type)“強(qiáng)制類型”用來(lái)指定文件或者進(jìn)程中數(shù)據(jù)的性質(zhì)。策略中的規(guī)則指定那個(gè)進(jìn)程類型可以使用哪個(gè)文件類型。敏感性(sensitivity):被政府、軍事等部門使用的安全級(jí)別。類別(cagegory)與組類似,但可以阻止root訪問(wèn)的保密數(shù)據(jù)。備注:類型為unconfined_t得到進(jìn)程是尚未被selinux限制的進(jìn)程。SELinux的主要訪問(wèn)控制特性是類型強(qiáng)制,安全上下文中的類型標(biāo)識(shí)符決定了訪問(wèn)權(quán)l(xiāng)s–Z

查看文件的安全上下文ps

-Z

查看進(jìn)程的上下文id–Z

查看用戶的上下文chcon:改變某個(gè)文件或目錄的上下文配置chcon-R-uuser_u-tpublic_content_rw_t/ftp默認(rèn)的文件配置保存在/etc/selinux/targeted/contexts/files/file_contexts如果你進(jìn)行了錯(cuò)誤的操作,想使某個(gè)文件返回原來(lái)的SELinux配置,可以使用restorecon命令根據(jù)存儲(chǔ)在file_contexts的配置進(jìn)行恢復(fù)Restorecon–v–R/home/tonysemanage新建一條規(guī)則,指定/var/ftp/incoming目錄及其下的所有文件的擴(kuò)展屬性為public_content_rw_tsemanagefcontext-a-tpublic_content_rw_t"/var/ftp/incoming/.*驗(yàn)證:semanagefcontext-l|grepincomingSELinux布爾值設(shè)置SELinux策略可以分為不同的類,一些于系統(tǒng)管理有關(guān),一些關(guān)于服務(wù),還有一些其他選項(xiàng)。你做的任何改動(dòng)都對(duì)應(yīng)這/selinux/booleans目錄下的布爾變量配置讓SELinux開(kāi)啟保護(hù)某些程序或關(guān)閉對(duì)些程序的某個(gè)項(xiàng)目的保護(hù)selinux策略的控制策略文件位置/selinux/booleansgetsebool控制策略:查看某個(gè)控制策略啟用情況getsebool-a[root@server~]#setseboolhttpd_enable_cgi1[root@server~]#getseboolhttpd_enable_cgihttpd_enable_cgi-->onsetsebool–P控制策略on|off-P表示始終;開(kāi)啟或者關(guān)閉某個(gè)策略setsebool-Pftp_home_dir=1監(jiān)視SELinux違反行為sealert–a/var/log/audit/audit.log

查看selinux錯(cuò)誤日志semanageboolean-l查看定義規(guī)則grepavc/var/log/messages看一些selinux相關(guān)信息policycoreutils-guiSElinux的圖形化管理工具setr

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論