linux 系统管理员l,系统管理员的 SELinux 指南
SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。
两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。
正确的标签格式是 user:role:type:level(可选)。
多级别安全Multi-Level Security(MLS)强制的目的是基于它们所使用数据的安全级别,对进程(域)强制实施控制。比如,一个秘密级别的进程是不能读取极机密级别的数据。
多类别安全Multi-Category Security(MCS)强制相互保护相似的进程(如虚拟机、OpenShift gears、SELinux 沙盒、容器等等)。
在启动时改变 SELinux 模式的内核参数有:
autorelabel=1 → 强制给系统重新标签化
selinux=0 → 内核不加载 SELinux 基础设施的任何部分
enforcing=0 → 以许可permissive模式启动
如果给整个系统重新标签化:
# touch /.autorelabel
# reboot
如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用许可模式引导系统。
检查 SELinux 是否启用:# getenforce
临时启用/禁用 SELinux:# setenforce [1|0]
SELinux 状态工具:# sestatus
配置文件:/etc/selinux/config
SELinux 是如何工作的?这是一个为 Apache Web Server 标签化的示例:
二进制文件:/usr/sbin/httpd→httpd_exec_t
配置文件目录:/etc/httpd→httpd_config_t
日志文件目录:/var/log/httpd → httpd_log_t
内容目录:/var/www/html → httpd_sys_content_t
启动脚本:/usr/lib/systemd/system/httpd.service → httpd_unit_file_d
进程:/usr/sbin/httpd -DFOREGROUND → httpd_t
端口:80/tcp, 443/tcp → httpd_t, http_port_t
在 httpd_t 安全上下文中运行的一个进程可以与具有 httpd_something_t 标签的对象交互。
许多命令都可以接收一个 -Z 参数去查看、创建、和修改安全上下文:
ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z
当文件被创建时,它们的安全上下文会根据它们父目录的安全上下文来创建(可能有某些例外)。RPM 可以在安装过程中设定安全上下文。
这里有导致 SELinux 出错的四个关键原因,它们将在下面的 15 - 21 条中展开描述:
标签化问题
SELinux 需要知道一些东西
SELinux 策略或者应用有 bug
你的信息可能被损坏
标签化问题:如果在 /srv/myweb 中你的文件没有被正确的标签化,访问可能会被拒绝。这里有一些修复这类问题的方法:
如果你知道标签:# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
如果你知道和它有相同标签的文件:# semanage fcontext -a -e /srv/myweb /var/www
恢复安全上下文(对于以上两种情况):# restorecon -vR /srv/myweb
标签化问题:如果你是移动了一个文件,而不是去复制它,那么这个文件将保持原始的环境。修复这类问题:
使用标签来改变安全上下文:# chcon -t httpd_system_content_t /var/www/html/index.html
使用参考文件的标签来改变安全上下文:# chcon --reference /var/www/html/ /var/www/html/index.html
恢复安全上下文(对于以上两种情况):# restorecon -vR /var/www/html/
如果 SELinux 需要知道 HTTPD 在 8585 端口上监听,使用下列命令告诉 SELinux:# semanage port -a -t http_port_t -p tcp 8585
SELinux 需要知道是否允许在运行时改变 SELinux 策略部分,而无需重写 SELinux 策略。例如,如果希望 httpd 去发送邮件,输入:# setsebool -P httpd_can_sendmail 1
SELinux 需要知道 SELinux 设置的关闭或打开的一系列布尔值:
查看所有的布尔值:# getsebool -a
查看每个布尔值的描述:# semanage boolean -l
设置某个布尔值:# setsebool [_boolean_] [1|0]
将它配置为永久值,添加 -P 标志。例如:# setsebool httpd_enable_ftp_server 1 -P
SELinux 策略/应用可能有 bug,包括:
不寻常的代码路径
配置
重定向 stdout
泄露的文件描述符
可执行内存
错误构建的库
开一个工单(但不要提交 Bugzilla 报告;使用 Bugzilla 没有对应的服务)
你的信息可能被损坏了,假如你被限制在某个区域,尝试这样做:
加载内核模块
关闭 SELinux 的强制模式
写入 etc_t/shadow_t
修改 iptables 规则
用于开发策略模块的 SELinux 工具:# yum -y install setroubleshoot setroubleshoot-server。安装完成之后重引导机器或重启 auditd 服务。
使用 journalctl 去列出所有与 setroubleshoot 相关的日志:# journalctl -t setroubleshoot --since=14:20
使用 journalctl 去列出所有与特定 SELinux 标签相关的日志。例如:# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
当 SELinux 错误发生时,使用setroubleshoot 的日志,并尝试找到某些可能的解决方法。例如:从 journalctl 中:
Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
***** Plugin restorecon (99.5 confidence) suggests ************************
If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html
日志:SELinux 记录的信息全在这些地方:
/var/log/messages
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml
日志:在审计日志中查找 SELinux 错误:# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
针对特定的服务,搜索 SELinux 的访问向量缓存Access Vector Cache(AVC)信息:# ausearch -m avc -c httpd
audit2allow 实用工具可以通过从日志中搜集有关被拒绝的操作,然后生成 SELinux 策略允许的规则,例如:
产生一个人类可读的关于为什么拒绝访问的描述:# audit2allow -w -a
查看允许被拒绝的类型强制规则:# audit2allow -a
创建一个自定义模块:# audit2allow -a -M mypolicy,其中 -M 选项将创建一个特定名称的强制类型文件(.te),并编译这个规则到一个策略包(.pp)中:mypolicy.pp mypolicy.te
安装自定义模块:# semodule -i mypolicy.pp
配置单个进程(域)运行在许可模式:# semanage permissive -a httpd_t
如果不再希望一个域在许可模式中:# semanage permissive -d httpd_t
禁用所有的许可域:# semodule -d permissivedomains
启用 SELinux MLS 策略:# yum install selinux-policy-mls。 在 /etc/selinux/config中:
SELINUX=permissive
SELINUXTYPE=mls
确保 SELinux 运行在许可模式:# setenforce 0
使用 fixfiles 脚本来确保在下一次重启时文件将被重新标签化:# fixfiles -F onboot # reboot
创建一个带有特定 MLS 范围的用户:# useradd -Z staff_u john使用 useradd 命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是 staff_u)。
查看 SELinux 和 Linux 用户之间的映射:# semanage login -l
为用户定义一个指定的范围:# semanage login --modify --range s2:c100 john
调整用户家目录上的标签(如果需要的话):# chcon -R -l s2:c100 /home/john
列出当前类别:# chcat -L
修改类别或者创建你自己的分类,修改如下文件:/etc/selinux/__/setrans.conf
以某个特定的文件、角色和用户安全上下文来运行一个命令或者脚本:# runcon -t initrc_t -r system_r -u user_u yourcommandhere
-t 是文件安全上下文
-r 是角色安全上下文
-u 是用户安全上下文
在容器中禁用 SELinux:
使用 Podman:# podman run --security-opt label=disable ...
使用 Docker:# docker run --security-opt label=disable ...
如果需要给容器提供完全访问系统的权限:
使用 Podman:# podman run --privileged ...
使用 Docker:# docker run --privileged ...
linux 系统管理员l,系统管理员的 SELinux 指南相关推荐
- 2. linux默认的系统管理员账号是,2019.10第二周 王俊懿_Linux
填空题 1.GNU的含义自由的操作系统 2.Linux一般有三个主要部分内核.命令解释层.实用工具 3.POSIX是Portable Operating System Interface的缩写,重点在 ...
- linux添加三权,基于SELinux的三权分离技术的研究
目前,Linux操作系统已广泛应用于各种设备和产品中,如服务器.PC机.机顶盒及路由器等.随着Linux系统的不断发展和广泛应用,Linux系统的安全问题也引起越来越多的关注.在Linux操作系统中, ...
- 麒麟linux创建用户组,麒麟Linux系统用户和组管理指南(21页)-原创力文档
中标麒麟Linux服务器操作系统培训系列 中标麒麟Linux系统用户和组管理指南 技术创新,变革未来 本章目标 •熟悉中标麒麟Linux服务器操作系统中用户和组的 基本操作命令和方法: •了解用户和用 ...
- Linux 2.6.31内核优化指南
Linux 2.6.31内核优化指南 作者:Ken Wu Email: ken.wug@gmail.com 转载本文档请注明原文链接 http://kenwublog.com/docs/linux-k ...
- linux ssh注册码,linux ssh -l 命令运用
ssh是远程登录命令,-l选项是最常用的选项,下面是我的一些总结 远程登录:ssh -l userName ip # 远程登录到 10.175.23.9 ssh -l root2 10.175. ...
- 企业Linux安全机制遭遇信任危机 SELinux成骇客帮凶?
[51CTO.com独家特稿]前些日子的udev溢出***泛滥,连以前一直表现出色的安全机制--SELinux在开启的状态下都无法抵御,不少企业的Linux被夺走管理员权限. 文/ 鲜橙加冰(王文文) ...
- 在 Ubuntu Linux 中使用 PPA(完全指南)
译:在 Ubuntu Linux 中使用 PPA(完全指南) 作者: Abhishek Prakash 自由和开放源码软件的创造者.一个热心的 Linux 用户和开源推动者.从阿加莎·克里斯蒂和夏洛克 ...
- 写python脚本管理_《写给系统管理员的 Python 脚本编程指南》笔记——第八章 文档和报告...
本章介绍主题:标准输入和输出 字符串格式化 发送电子邮件 8.1 标准输入和输出 stdin 系统标准输入,stdout 系统标准输出,都是类似文件的对象,可以进行读写.在交互式会话或命令行中运行程序 ...
- linux 系统管理员面试,经典linux系统工程师系统管理员面试题
b,从协议本身来分:大部分的情况下使用UDP协议,大家都知道UDP协议是一种不可靠的协议,dns不像其它的使用UDP的Internet应用( 如:TFTP,BOOTP和SNMP等),大部分集中在局域网 ...
最新文章
- android studio导入第三方库和demo
- 十种工具审核网络安全
- python3 socketserver_Python3中的SocketServer
- iReport工具的使用(三)
- mock 测试 MVC
- 离线语音识别技术品鉴——功能不同各有千秋
- MS Sql当中 money类型数据使用 Decimal 传输
- nginx.conf 配置完整示例
- 术业专攻丨认识系泊系统
- 每日一题_36. 有效的数独
- 子图数正方形和长方形数量
- 电信光猫 TEWA-708E 登录超级管理员和开启DMZ
- Tomcat部署多个Sring Boot项目时Unable To Register MBean Exception的一种解决方法
- Newdex Swap闪兑系统已通过PeckShield安全审计服务
- 远程办公软件合集 总结好用的10款远程办公工具
- Scrapy 浅入浅出
- DVB-S2 DVB-S2X DVB-DSNG 发射机 接收机FPGA IP
- 全球5G发展洞察2022(中)
- java 打印机类printer_GitHub - 505058216/thermal_printer: Java实现网络小票打印机自定义无驱打印...
- `Algorithm-Solution` `AcWing` 378. 骑士放置
热门文章
- 微博吃瓜总是晚一步才知道,程序员直接写了一个热搜提醒工具
- axure pr动态可视化元件库在哪有_axChart_动态可视化图表元件库v1.2.3
- 网络是怎样连接的学习笔记——从网线到网络设备
- 02 视频或语音转文本
- UEFI入门之EDK II开发环境搭建
- Incorrect string value '\xF0\xA0\x9D\xB9\xE5\x82...' for column 'CONTENT' at row 1
- mysql phpwind_php+mysql及phpwind和wordpress的安装配置
- 小工具:找出序列中的极值点
- 如何将电脑下载的电子书导入手机kindle APP
- 亚马逊Kindle电子书在线管理网站,管理我的内容和设备入口,如何进入