20170904 SELinux

  • SELinux的基本概念
  • 设置SELinux

一、SELinux的基本概念

(一)定义:

SELinux:Secure Enhanced Linux,是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中

(二)DAC与MAC:

  • DAC:Discretionary Access Control 自由访问控制
  • MAC:Mandatory Access Control 强制访问控制
  • 区别: DAC环境下进程是无束缚的,MAC环境下进程是可以被限制的
  • 策略:
    • MAC环境下策略的规则决定控制的严格程度
    • 策略被用来定义被限制的进程能够使用那些资源(文件和端口)
    • 默认情况下,没有被明确允许的行为将被拒绝

(三)SELinux有四种工作类型:

  • strict: 每个进程都受到selinux的控制
  • targeted: 用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程
  • minimum:修改的targeted,监控选择的网络服务
  • mls:提供MLS(多级安全)机制的安全性
  • targeted为默认类型,minimum和mls稳定性不足,未加以应用,strict已不再使用

(四)安全上下文

  • 传统Linux:一切皆文件,由用户,组,权限控制访问

  • SELinux中:一切皆对象(object),由存放在inode的扩展属性域的安全元素控制其访问

  • 安全上下文(security context):所有文件、端口资源、进程都具备安全标签

    • 安全上下文由五个元素组成: user:role:type:sensitivity:category
    • 实际上下文:存放在文件系统中
      ls -Z :查看文件的实际安全上下文
      ps -Z:查看进程的实际上下文
    • 期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中
      semanage fcontext -l:查看期望安全上下文的策略库
  • 安全上下文五个元素详解:

    • User:指示登录系统的用户类型(root,user_u,system_u),多数本地进程都属于自由(unconfined)进程
    • Role:定义文件,进程和用户的用途
      文件:object_r,进程和用户:system_r
    • Type:指定数据类型,规则中定义何种进程类型访问何种文件
      • Target策略基于type实现
      • 多服务共用:public_content_t
    • Sensitivity:限制访问的需要
      • 由组织定义的分层安全级别,如unclassified,secret,top,secret,
      • 一个对象有且只有一个sensitivity,分0-15级
      • s0最低,Target策略默认使用s0
    • Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret,
      • 一个对象可以有多个categroy,c0-c1023共1024个分类
      • Target 策略不使用category

(五)SELinux策略

  • 对象(object):所有可以读取的对象,包括文件、目录、进程、端口等

  • 主体(subject):进程称为主体

  • SELinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义

  • 当一个subject试图访问一个object,Kernel中的策略执行服务器将检查AVC (访问矢量缓存Access Vector Cache),在AVC中,subject和object的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问

  • 安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的,并且定义了哪种行为是允许或拒绝的

二、设置SELinux

(一)SELinux设置内容

  • SELinux是否启用
  • 给文件重新打安全标签
  • 给端口设置安全标签
  • 设定某些操作的布尔型开关
  • SELinux的日志管理

(二)SELinux的状态切换

  • SELinux的三种状态

    • enforcing:强制,每个受限的进程都必然受限
    • permissive:允许,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
    • disabled:禁用
  • 配置命令:

    • getenforce:获取当前SELinux状态
    • sestatus:查看SELinux状态详细信息
    • setenforce 0|1:0指代permissive,1指代enforcing,此命令只在本次开机生效
  • 配置文件:

    • /boot/grub/grub.conf
      使用selinux=0禁用SELinux
    • /etc/selinux/config或/etc/sysconfig/selinux(指向/etc/selinux/config的软链接)
      SELINUX={disabled|enforcing|permissive}
    • 修改的配置文件从下一次重启永久有效

(三)修改SELinux的安全标签

  • 给文件重新打安全标签:
    chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
    chcon [OPTION]... --reference=RFILE FILE...
    -R:递归打标签

  • 恢复目录或文件默认的安全上下文:
    restorecon [-R] /path/to/somewhere

(四)默认安全上下文的查询和修改

  • semanage:来自policycoreutils-python包

  • 查看默认的安全上下文
    semanage fcontext -l

  • 添加安全上下文
    semanage fcontext -a -t httpd_sys_content_t '/testdir(/.*)?'

  • 删除安全上下文
    semanage fcontext -d -t httpd_sys_content_t '/testdir(/.*)?'

(五)SELinux端口标签

  • 查看端口标签
    semanage port -l

  • 添加端口
    semanage port -a -t port_label -p tcp|udp PORT
    e.g. semanage port -a -t http_port_t -p tcp 9527:添加httpd服务端口号9527

  • 删除端口
    semanage port -d -t port_label -p tcp|udp PORT
    e.g. semanage port -d -t http_port_t -p tcp 9527:删除httpd服务端口号9527

  • 修改现有端口为新标签
    semanage port -m -t port_label -p tcp|udp PORT
    e.g. semanage port -m -t http_port_t -p tcp 9527:将端口9527修改为httpd服务的端口

(六)SELinux布尔值

  • 查看bool命令:
    getsebool [-a] [boolean]
    semanage boolean -l
    semanage boolean -l -C:查看修改过的布尔值

  • bool值分为状态值和默认值,当前值指内存中的状态,而默认值指硬盘中储存的状态,如下图红框中所示State和Default值

  • 设置bool值命令:
    setsebool [-P] boolean value (value=on|off)
    setsebool [-P] boolean=value (value=1|0)

  • 默认只会修改state值,而添加-P命令可以一并将default值修改,这样设置重启仍旧生效

(七)SELinux日志管理

  • yum install setroubleshoot(重启生效)
    功能:将错误的信息写入/var/log/message
    可以查找错误信息:grep setroubleshoot/var/log/messages

  • sealert -l UUID
    查看安全事件日志说明

  • sealert -a /var/log/audit/audit.log
    扫描并分析日志

(八)SELinux帮助

  • yum -y install selinux-policy-devel (CentOS 7.2)

  • yum -y install selinux-policy-doc (CentOS 7.3)

  • mandb (CentOS 7) | makewhatis (CentOS 6)

  • man -k _selinux

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 210,978评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 89,954评论 2 384
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,623评论 0 345
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,324评论 1 282
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,390评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,741评论 1 289
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,892评论 3 405
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,655评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,104评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,451评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,569评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,254评论 4 328
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,834评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,725评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,950评论 1 264
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,260评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,446评论 2 348

推荐阅读更多精彩内容

  • 1.SELinux: Secure Enhanced Linux  DAC:Discretionary Acce...
    尛尛大尹阅读 699评论 0 1
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,628评论 18 139
  • 1、第八章 Samba服务器2、第八章 NFS服务器3、第十章 Linux下DNS服务器配站点,域名解析概念命令:...
    哈熝少主阅读 3,717评论 0 10
  • 历史 Android的安全模型是基于一部分应用程序沙箱(sandbox)的概念, 每个应用程序都运行在自己的...
    恶魔殿下_HIM阅读 34,633评论 4 24
  • 基础命令 为了在 sudo 中设置权限提升,您需要编辑 sudoers 文件。 你不应该直接编辑文件,而是使用:s...
    米开朗基乐阅读 1,887评论 0 5