當(dāng)前位置：首頁 > 运维知识 > linux >内容正文

linux

Linux学习之CentOS(三十)--SELinux安全系统基础

發(fā)布時(shí)間：2024/4/15 linux 70 豆豆

生活随笔收集整理的這篇文章主要介紹了 Linux学习之CentOS(三十)--SELinux安全系统基础小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

您可以通過點(diǎn)擊 右下角 的按鈕來對文章內(nèi)容作出評價(jià), 也可以通過左下方的 關(guān)注按鈕 來關(guān)注我的博客的最新動(dòng)態(tài)。如果文章內(nèi)容對您有幫助, 不要忘記點(diǎn)擊右下角的 推薦按鈕 來支持一下哦如果您對文章內(nèi)容有任何疑問, 可以通過評論或發(fā)郵件的方式聯(lián)系我: 501395377@qq.com / lzp501395377@gmail.com如果需要轉(zhuǎn)載，請注明出處，謝謝！！

本篇隨筆將記錄一下學(xué)習(xí)SELinux的一些心得與體會(huì)...

一、SELinux簡介

SELinux(Secure Enhanced Linux)安全增強(qiáng)的Linux是由美國國家安全局NSA針對計(jì)算機(jī)基礎(chǔ)結(jié)構(gòu)安全開發(fā)的一個(gè)全新的Linux安全策略機(jī)制。SELinux可以允許系統(tǒng)管理員更加靈活的來定義安全策略。

SELinux是一個(gè)內(nèi)核級別的安全機(jī)制，從Linux2.6內(nèi)核之后就將SELinux集成在了內(nèi)核當(dāng)中，因?yàn)镾ELinux是內(nèi)核級別的，所以我們對于其配置文件的修改都是需要重新啟動(dòng)操作系統(tǒng)才能生效的。

現(xiàn)在主流發(fā)現(xiàn)的Linux版本里面都集成了SELinux機(jī)制，CentOS/RHEL都會(huì)默認(rèn)開啟SELinux機(jī)制。

二、SELinux基本概念

我們知道，操作系統(tǒng)的安全機(jī)制其實(shí)就是對兩樣?xùn)|西做出限制：進(jìn)程和系統(tǒng)資源(文件、網(wǎng)絡(luò)套接字、系統(tǒng)調(diào)用等)。

在之前學(xué)過的知識(shí)當(dāng)中，Linux操作系統(tǒng)是通過用戶和組的概念來對我們的系統(tǒng)資源進(jìn)行限制，我們知道每個(gè)進(jìn)程都需要一個(gè)用戶才能執(zhí)行。

在SELinux當(dāng)中針對這兩樣?xùn)|西定義了兩個(gè)基本概念：域(domin)和上下文(context)。

域就是用來對進(jìn)行進(jìn)行限制，而上下文就是對系統(tǒng)資源進(jìn)行限制。

我們可以通過 ps -Z 這命令來查看當(dāng)前進(jìn)程的域的信息，也就是進(jìn)程的SELinux信息：

[root@xiaoluo ~]# ps -Z LABEL PID TTY TIME CMD unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2503 pts/0 00:00:00 su unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2511 pts/0 00:00:00 bash unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3503 pts/0 00:00:00 ps

通過 ls -Z 命令我們可以查看文件上下文信息，也就是文件的SELinux信息：

[root@xiaoluo ~]# ls -Z -rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 Desktop -rw-r--r--+ root root system_u:object_r:admin_home_t:s0 install.log -rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog

在稍后我們來探討一下這些字段所代表的含義。

三、策略

在SELinux中，我們是通過定義策略來控制哪些域可以訪問哪些上下文。

在SELinux中，預(yù)置了多種的策略模式，我們通常都不需要自己去定義策略，除非是我們自己需要對一些服務(wù)或者程序進(jìn)行保護(hù)

在CentOS/RHEL中，其默認(rèn)使用的是目標(biāo)(target)策略，那么何為目標(biāo)策略呢？

目標(biāo)策略定義了只有目標(biāo)進(jìn)程受到SELinux限制，非目標(biāo)進(jìn)程就不會(huì)受到SELinux限制，通常我們的網(wǎng)絡(luò)應(yīng)用程序都是目標(biāo)進(jìn)程，比如httpd、mysqld，dhcpd等等這些網(wǎng)絡(luò)應(yīng)用程序。

我們的CentOS的SELinux配置文件是存放在 /etc/sysconfig/ 目錄下的 selinux?文件，我們可以查看一下里面的內(nèi)容：

[root@xiaoluo ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted 　　// 我們的CentOS使用的策略就是目標(biāo)策略

四、SELinux模式

SELinux的工作模式一共有三種 enforcing、permissive和disabled?

①enforcing　　強(qiáng)制模式：只要是違反策略的行動(dòng)都會(huì)被禁止，并作為內(nèi)核信息記錄

②permissive　　允許模式：違反策略的行動(dòng)不會(huì)被禁止，但是會(huì)提示警告信息

③disabled　　禁用模式：禁用SELinux，與不帶SELinux系統(tǒng)是一樣的，通常情況下我們在不怎么了解SELinux時(shí)，將模式設(shè)置成disabled，這樣在訪問一些網(wǎng)絡(luò)應(yīng)用時(shí)就不會(huì)出問題了。

上面也說了SELinux的主配置文件是 /etc/sysconfig/selinux?

[root@xiaoluo ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing　　//　　我們看到SELinux默認(rèn)的工作模式是enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted

我們SELinux默認(rèn)的工作模式是enforcing，我們可以將其修改為 permissive或者是disabled

我們?nèi)绻榭串?dāng)前SELinux的工作狀態(tài)，可以使用 getenforce 命令來查看：

[root@xiaoluo ~]# getenforce Enforcing

當(dāng)前的工作模式是 enforcing，我們?nèi)绻O(shè)置當(dāng)前的SELinux工作狀態(tài)，可以使用 setenforce [0|1] 命令來修改，setenforce 0表示設(shè)置成 permissive，1表示enforcing

【注意：】通過 setenforce 來設(shè)置SELinux只是臨時(shí)修改，當(dāng)系統(tǒng)重啟后就會(huì)失效了，所以如果要永久修改，就通過修改SELinux主配置文件

[root@xiaoluo ~]# setenforce 0 [root@xiaoluo ~]# getenforce Permissive[root@xiaoluo ~]# setenforce 1 [root@xiaoluo ~]# getenforce Enforcing

[root@xiaoluo ~]# ls -Z-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 Desktop -rw-r--r--+ root root system_u:object_r:admin_home_t:s0 install.log -rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog

我們可以通過 ls -Z 這個(gè)命令來查看我們文件的上下文信息，也就是SELinux信息，我們發(fā)現(xiàn)其比傳統(tǒng)的 ls 命令多出來了?system_u:object_r:admin_home_t:s0 這個(gè)東西，我們現(xiàn)在就來分析一下這段語句所代表的含義

system_u:object_r:admin_home_t:s0

這條語句通過：劃分成了四段，第一段 system_u 代表的是用戶，第二段 object_r 表示的是角色，第三段是SELinux中最重要的信息，admin_home 表示的是類型，最后一段 s0 是跟MLS、MCS相關(guān)的東西，暫時(shí)不需要管

①system_u　　指的是SElinux用戶，root表示root賬戶身份，user_u表示普通用戶無特權(quán)用戶，system_u表示系統(tǒng)進(jìn)程，通過用戶可以確認(rèn)身份類型，一般搭配角色使用。身份和不同的角色搭配時(shí)有權(quán)限不同，雖然可以使用su命令切換用戶但對于SElinux的用戶并沒有發(fā)生改變，賬戶之間切換時(shí)此用戶身份不變，在targeted策略環(huán)境下用戶標(biāo)識(shí)沒有實(shí)質(zhì)性作用。

②object_r　　object_r一般為文件目錄的角色、system_r一般為進(jìn)程的角色，在targeted策略環(huán)境中用戶的角色一般為system_r。用戶的角色類似用戶組的概念，不同的角色具有不同的身份權(quán)限，一個(gè)用戶可以具備多個(gè)角色，但是同一時(shí)間只能使用一個(gè)角色。在targeted策略環(huán)境下角色沒有實(shí)質(zhì)作用，在targeted策略環(huán)境中所有的進(jìn)程文件的角色都是system_r角色。

③admin_home　　文件和進(jìn)程都有一個(gè)類型，SElinux依據(jù)類型的相關(guān)組合來限制存取權(quán)限。

五、實(shí)例

下面我們通過一個(gè)實(shí)例來看一下上下文 context 的值和SELinux的訪問控制

比如說我搭建好了一個(gè)Web服務(wù)器，我們知道www服務(wù)器其默認(rèn)網(wǎng)頁存放位置是在 /var/www/html 這個(gè)目錄下，我們?nèi)绻谶@里新建一個(gè) index.html 測試頁面，啟動(dòng)我們的www服務(wù)器，刷新就能見到其內(nèi)容了，這時(shí)我們?nèi)绻窃谖覀兊?/home 目錄下建立一個(gè) index.html 頁面，然后將其移動(dòng)到 /var/www/html 這個(gè)目錄下，再刷新頁面，其還會(huì)不會(huì)正常顯示呢？

首先我們啟動(dòng)我們的 httpd 服務(wù)：

[root@xiaoluo ~]# service httpd restartStopping httpd: [ OK ] Starting httpd: httpd: apr_sockaddr_info_get() failed for xiaoluo httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName[ OK ]

然后打開瀏覽器，輸入我們的 127.0.0.1 來訪問，此時(shí)看到的界面是Apache的測試界面：

因?yàn)槲覀兇藭r(shí)的 /var/www/html 下還不存在任何頁面：

[root@xiaoluo home]# ll /var/www/html/ total 0

接下來我們在 /home 目錄下建立一個(gè) index.html 的頁面，然后將其移動(dòng)到我們的?/var/www/html 目錄下

[root@xiaoluo home]# vi index.htmlThis is a test about SELinux[root@xiaoluo home]# mv index.html /var/www/html/[root@xiaoluo html]# cd /var/www/html/ [root@xiaoluo html]# ls index.html

此時(shí)，按照正常情況，因?yàn)閔tml目錄下存在了一個(gè)index.html的頁面，我們此時(shí)如果刷新瀏覽器頁面，應(yīng)該會(huì)跳轉(zhuǎn)到index.html頁面的

但是事實(shí)我們發(fā)現(xiàn)，頁面還是在這個(gè)測試頁面，到底是為什么呢？這個(gè)就跟我們的SELinux的安全策略有關(guān)系了，我們可以去 /var/log/audit 這個(gè)目錄下查看 audit.log 這個(gè)文件，從中找出錯(cuò)誤信息

[root@xiaoluo html]# tail /var/log/audit/audit.log type=CRED_DISP msg=audit(1369575601.957:289): user pid=3637 uid=0 auid=0 ses=44 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success' type=USER_END msg=audit(1369575601.957:290): user pid=3637 uid=0 auid=0 ses=44 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:session_close acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success' type=AVC msg=audit(1369575729.534:291): avc: denied { getattr } for pid=3619 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file type=SYSCALL msg=audit(1369575729.534:291): arch=c000003e syscall=4 success=no exit=-13 a0=7f34198634f8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=7f341985ff60 items=0 ppid=3612 pid=3619 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1369575729.535:292): avc: denied { getattr } for pid=3619 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file type=SYSCALL msg=audit(1369575729.535:292): arch=c000003e syscall=6 success=no exit=-13 a0=7f34198635c8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=1 items=0 ppid=3612 pid=3619 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1369575736.549:293): avc: denied { getattr } for pid=3618 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file type=SYSCALL msg=audit(1369575736.549:293): arch=c000003e syscall=4 success=no exit=-13 a0=7f34198634f8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=7f341985ff60 items=0 ppid=3612 pid=3618 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1369575736.549:294): avc: denied { getattr } for pid=3618 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file type=SYSCALL msg=audit(1369575736.549:294): arch=c000003e syscall=6 success=no exit=-13 a0=7f34198635c8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=1 items=0 ppid=3612 pid=3618 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)

從這個(gè)日志文件中，我們就可以看到刷新頁面不出來index.html的原因就是因?yàn)槲覀兊腟ELinux安全策略所導(dǎo)致的

我們通過 ls -Z 命令先來看看剛移動(dòng)過來的 index.html 的上下文信息

[root@xiaoluo html]# ls -Z -rw-r--r--. root root unconfined_u:object_r:home_root_t:s0 index.html

我們發(fā)現(xiàn)其第三個(gè)字段的類型是 home_root_t,這是為什么呢？因?yàn)槲覀儎偛攀窃?/home 目錄下創(chuàng)建的這index.html文件，所以其默認(rèn)會(huì)繼承上一層目錄的SELinux的類型信息，我們可以查看一下 /home 這個(gè)目錄的上下文信息：

[root@xiaoluo html]# ls -Z -d /home/ drwxr-xr-x. root root system_u:object_r:home_root_t:s0 /home/

我們看到，其第三個(gè)字段和我們剛才的index.html相同，由此可以看出文件的context值是受上一級目錄影響的，一般情況下它們會(huì)繼承上一級目錄的context值，但是，一些安裝服務(wù)產(chǎn)生的文件context值會(huì)例外，不繼承上級目錄的context值，服務(wù)會(huì)自動(dòng)創(chuàng)建它們的context值，比如沒有裝http服務(wù)的時(shí)候/var/目錄下時(shí)沒有www目錄的，安裝httpd服務(wù)后該服務(wù)會(huì)自動(dòng)創(chuàng)建出所需的目錄，并定義與服務(wù)相關(guān)的目錄及文件才context值，它們并不會(huì)繼承上級目錄的context值。

[root@xiaoluo html]# ls -Z -d /var drwxr-xr-x. root root system_u:object_r:var_t:s0 /var[root@xiaoluo html]# ls -Z -d /var/www/html/ drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

此時(shí)我們發(fā)現(xiàn)我們的 /var/www/html 這個(gè)目錄的上下文類型是?httpd_sys_content_t，而我們剛才移動(dòng)過來的 index.html 的類型卻是 home_root_t,因?yàn)槲覀兇藭r(shí)的SELinux的工作模式是 enforcing，所以對于違反策略的行動(dòng)是被禁止的，所以我們刷新頁面并不會(huì)出現(xiàn)我們的index.html里面的信息，那么我們這個(gè)時(shí)候應(yīng)該解決這個(gè)問題呢？

通常解決辦法由兩種：

①直接將SELinux的工作模式設(shè)置成 disabled，這樣就不會(huì)出現(xiàn)策略攔截問題了，但是這樣的話我們的系統(tǒng)就沒有SELinux安全防護(hù)了

②通過 restorecon 或者 chcon 命令來修復(fù)我們的文件上下文信息

命令 restorecon 可以用來恢復(fù)文件默認(rèn)的上下文：

restorecon -R -v /var/www/html/index.html　　//-R 表示遞歸，如果是目錄，則該目錄下的所有子目錄、文件都會(huì)得到修復(fù)　　

命令 chcon 可以改變文件的上下文信息，通常我們使用一個(gè)參照文件來進(jìn)行修改：

chcon --reference=/var/www/html/index.html /var/www/html/test.html

這里我們通過使用 restorecon 命令來恢復(fù)我們文件默認(rèn)的上下文：

[root@xiaoluo html]# restorecon -v index.html restorecon reset /var/www/html/index.html context unconfined_u:object_r:home_root_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0[root@xiaoluo html]# ls -Z -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html

我們看到，使用 restorecon 命令以后，index.html的上下文信息就繼承了上一級目錄 html 這個(gè)目錄的上下文信息了，這個(gè)時(shí)候我們再刷新頁面就可以看到我們index.html里面的內(nèi)容了

通過這個(gè)實(shí)例我們就明白了文件的上下文信息與SELinux之間的關(guān)系了，并知道了通過查看 /var/log/audit/audit.log 這個(gè)日志文件的信息找出錯(cuò)誤所在，以及通過 restorecon 命令來修復(fù)我們的文件的上下文信息

本篇隨筆主要講解了SELinux的一些基本概念以及與SELinux相關(guān)的一些命令，對于SELinux更具體的一些內(nèi)容以及知識(shí)將在以后學(xué)習(xí)的過程中記錄下來！！！

轉(zhuǎn)載于:https://www.cnblogs.com/xiaoluo501395377/archive/2013/05/26/3100444.html

總結(jié)

以上是生活随笔為你收集整理的Linux学习之CentOS(三十)--SELinux安全系统基础的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： c#中 cmd.parameters.a
下一篇： linux考试基础知识测验

日韩av黄I国产麻豆传媒I国产91av视频在线观看I日韩一区二区三区在线看I美女国产在线I麻豆视频国产在线观看I成人黄色短片

linux

Linux学习之CentOS(三十)--SELinux安全系统基础

總結(jié)