1、RHEL6_SELinux管理輕舞飛揚(yáng).1.SELinux概述SELinux(Security-Enhanced Linux) 是美國國家平安局NAS對于強(qiáng)迫訪問控制的實(shí)現(xiàn)，是 Linux上最出色的新平安子系統(tǒng)。NSA是在Linux社區(qū)的協(xié)助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進(jìn)程只能訪問那些在他的義務(wù)中所需求文件。SELinux provides a flexible Mandatory Access Control (MAC) system built into the Linux kernel. Under standard Linux Discretionary Ac

2、cess Control (DAC), an application or process running as a user (UID or SUID) has the users permissions to objects such as files, sockets, and other processes. Running a MAC kernel protects the system from malicious 有缺陷or flawed惡意 applications that can damage or destroy the system. .DAC vs MACDAC 主體

3、是用戶，訪問目的文件由文件本身的權(quán)限決議，依進(jìn)程運(yùn)轉(zhuǎn)時(shí)的用戶身份決議其訪問權(quán)限權(quán)限MAC主體是進(jìn)程，訪問目的文件由戰(zhàn)略決議.SELinux的目的包裝比較脆弱的效力，相當(dāng)于給效力加了一層平安殼，使效力運(yùn)用起來更加平安。.SELinux任務(wù)原理SELinux添加了一個(gè)并行權(quán)限集全，其中每個(gè)進(jìn)程經(jīng)過SELinux平安性上下文運(yùn)轉(zhuǎn)，系統(tǒng)上的文件和其他資源也都設(shè)置了上下文標(biāo)簽。與普通權(quán)限的不同之處在于可配置的SELinux戰(zhàn)略控制哪些進(jìn)程上下文可以訪問哪些文件上下文。.2.SELinux的配置文件/etc/sysconfig/selinux# This file controls the state o

4、f SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.SELINUX=enforcing# SELINUXTYPE= can take one of these two values:# targeted - T

5、argeted processes are protected,# mls - Multi Level Security protection. SELINUXTYPE=targeted .3.SELinux的3種方式Enforcing強(qiáng)迫方式：默許方式，按照SELinux的戰(zhàn)略來進(jìn)展驗(yàn)證和管理系統(tǒng)平安。假設(shè)發(fā)現(xiàn)和SELinux的規(guī)定不相符合那么強(qiáng)迫阻止程序的運(yùn)轉(zhuǎn)或者訪問，同時(shí)給出提示。Permissive允許方式：系統(tǒng)記錄一切違反戰(zhàn)略的行為并給與一定的提示，同時(shí)不中阻止程序的運(yùn)轉(zhuǎn)。Disabled禁用方式：封鎖SELinux注：禁用的另一種方式：在啟動(dòng)的時(shí)候，也可以經(jīng)過傳送參數(shù)selinux

6、給內(nèi)核來控制它kernel /vmlinuz-2.6.32-71.el6.x86_64 ro root=UUID=073f0cf8-201d-4981-bb2c-610c0d95e41f selinux=0.網(wǎng)頁無論放置在哪個(gè)目錄下都可以訪問，相關(guān)行為不記錄在LOG里.網(wǎng)頁無論放置在哪個(gè)目錄下都可以訪問，相關(guān)行為記錄在LOG里.網(wǎng)頁指定存放效力本身的根目錄下，可以訪問，并受selinux,相關(guān)行為記錄在LOG里.SELINUX SELinux任務(wù)形狀，可以設(shè)置為 enforcing，permissive或disabled。SELINUXTYPE 指定維護(hù)級別。默許是 targeted，僅作用于

7、daemons。另一個(gè)選擇是 mls 運(yùn)用 SELinux進(jìn)展全面維護(hù)。SELOCALDEFS 支持本地 SELinux 戰(zhàn)略。默許設(shè)置為 0即封鎖.設(shè)置selinux的方式getenforce：查詢當(dāng)前的SELinux方式setenforce 0 |1 0:允許方式 1：強(qiáng)迫方式這將改動(dòng) /selinux/enforce 的布爾值.The SELinux Pseudo-File System.一切操作系統(tǒng)訪問控制都是以關(guān)聯(lián)的客體和主體的的某種類型的訪問控制屬性為根底的。在SELinux中，訪問控制屬性叫做平安上下文。一切客體文件、進(jìn)程間通訊通道、套接字、網(wǎng)絡(luò)主機(jī)等和主體(進(jìn)程)都有與其關(guān)聯(lián)的

8、平安上下文一個(gè)平安上下文由用戶、角色和類型標(biāo)識符3部分組成。.Selinux的五種元素User:role:type:sensitivity:categoryUser_u:object_r:tmp_t:s0:c0.用戶user指登陸到系統(tǒng)的用戶類型；根用戶登陸，那么用戶類型就是root；其他用戶類型是user_u，即使是運(yùn)用su命令提高訪問權(quán)限也還是user_u；進(jìn)程類型是system_u。角色role定義某個(gè)文件、進(jìn)程、或用戶的目的。文件角色是object_r；進(jìn)程角色是system_r；用戶角色也是system_r；類型type“強(qiáng)迫類型用來指定文件或者進(jìn)程中數(shù)據(jù)的性質(zhì)。戰(zhàn)略中的規(guī)那么指定那

9、個(gè)進(jìn)程類型可以運(yùn)用哪個(gè)文件類型。敏感性sensitivity:被政府、軍事等部門運(yùn)用的平安級別。類別cagegory與組類似，但可以阻止root訪問的嚴(yán)密數(shù)據(jù)。備注：類型為unconfined_t得到進(jìn)程是尚未被selinux限制的進(jìn)程。.SELinux的主要訪問控制特性是類型強(qiáng)迫，平安上下文中的類型標(biāo)識符決議了訪問權(quán).ls Z 查看文件的平安上下文ps -Z 查看進(jìn)程的上下文id Z 查看用戶的上下文.chcon :改動(dòng)某個(gè)文件或目錄的上下文配置chcon -R -u user_u -t public_content_rw_t /ftp默許的文件配置保管在 /etc/selinux/targ

10、eted/contexts/files/file_contexts 假設(shè)他進(jìn)展了錯(cuò)誤的操作，想使某個(gè)文件前往原來的 SELinux配置，可以運(yùn)用 restorecon 命令根據(jù)存儲在 file_contexts 的配置進(jìn)展恢復(fù)Restorecon v R /home/tony.chcon reference 對象1 對象2 把對象1的平安環(huán)境類型運(yùn)用到對象2上cechcon reference=/var/www/html index.htmlchcon t tmp_t /path 修正目的對象的平安環(huán)境類型。.semanage新建一條規(guī)那么，指定/var/ftp/incoming目錄及其下的一

11、切文件的擴(kuò)展屬性為public_content_rw_t semanage fcontext -a -t public_content_rw_t /var/ftp/incoming/.*驗(yàn)證：semanage fcontext -l | grep incoming.SELinux 布爾值設(shè)置SELinux 戰(zhàn)略可以分為不同的類，一些于系統(tǒng)管理有關(guān)，一些關(guān)于效力,還有一些其他選項(xiàng)。他做的任何改動(dòng)都對應(yīng)這 /selinux/booleans 目錄下的布爾變量配置讓SELinux開啟維護(hù)某些程序或封鎖對些程序的某個(gè)工程的維護(hù).selinux戰(zhàn)略的控制戰(zhàn)略文件位置/selinux/booleansge

12、tsebool 控制戰(zhàn)略 ：查看某個(gè)控制戰(zhàn)略啟用情況getsebool -arootserver # setsebool httpd_enable_cgi 1rootserver # getsebool httpd_enable_cgi httpd_enable_cgi - onsetsebool P 控制戰(zhàn)略 on|off-P表示一直；開啟或者封鎖某個(gè)戰(zhàn)略setsebool -P ftp_home_dir=1.監(jiān)視SELinux違反行為sealert a /var/log/audit /audit.log查看selinux錯(cuò)誤日志semanage boolean -l 查看定義規(guī)那么grep avc /var/log/messages 看一些selinux相關(guān)信息.policycoreutils-guiSElinux