linux中的selinux到底是什么,本篇文章彻底明白
原文链接https://www.phpyuan.com/235739.html,本文加以修改,若有侵权,请联系删除
一、前言
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。
SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。
如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可以到达"坚不可摧"的地步了(请永远记住没有绝对的安全)。
掌握 SELinux 的基本概念以及简单的配置方法是每个 Linux 系统管理员的必修课。
本文均在 CentOS 7.4.1708 系统中操作。
本文纯属个人学习经验分享交流,出错再所难免,仅供参考!如果发现错误的地方,可以的话麻烦指点下,特别感谢!
二、SELinux 的作用及权限管理机制
2.1 SELinux 的作用
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
设想一下,如果一个以 root 身份运行的网络服务存在 0day 漏洞,黑客就可以利用这个漏洞,以 root 的身份在您的服务器上为所欲为了。是不是很可怕?
SELinux 就是来解决这个问题的。
2.2 DAC
在没有使用 SELinux 的操作系统中,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。
只要访问这个资源的进程符合以上的条件就可以被访问。
而最致命问题是,root 用户不受任何管制,系统上任何资源都可以无限制地访问。
这种权限管理机制的主体是用户,也称为自主访问控制(DAC)。
2.3 MAC
在使用了 SELinux 的操作系统中,决定一个资源是否能被访问的因素除了上述因素之外,还需要判断每一类进程是否拥有对某一类资源的访问权限。
这样一来,即使进程是以 root 身份运行的,也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。
即使是以 root 身份运行的服务进程,一般也只能访问到它所需要的资源。即使程序出了漏洞,影响范围也只有在其允许访问的资源范围内。安全性大大增加。
这种权限管理机制的主体是进程,也称为强制访问控制(MAC)。
而 MAC 又细分为了两种方式,一种叫类别安全(MCS)模式,另一种叫多级安全(MLS)模式。
下文中的操作均为 MCS 模式。
2.4 DAC 和 MAC 的对比
这里引用一张图片来说明。
可以看到,在 DAC 模式下,只要相应目录有相应用户的权限,就可以被访问。而在 MAC 模式下,还要受进程允许访问目录范围的限制。
三、SELinux 基本概念
3.1 主体(Subject)
可以完全等同于进程。
注:为了方便理解,如无特别说明,以下均把进程视为主体。
3.2 对象(Object)
被主体访问的资源。可以是文件、目录、端口、设备等。
注:为了方便理解,如无特别说明,以下均把文件或者目录视为对象。
3.3 政策和规则(Policy & Rule)
系统中通常有大量的文件和进程,为了节省时间和开销,通常我们只是选择性地对某些进程进行管制。
而哪些进程需要管制、要怎么管制是由政策决定的。
一套政策里面有多个规则。部分规则可以按照需求启用或禁用(以下把该类型的规则称为布尔型规则)。
规则是模块化、可扩展的。在安装新的应用程序时,应用程序可通过添加新的模块来添加规则。用户也可以手动地增减规则。
在 CentOS 7 系统中,有三套政策,分别是:
targeted:对大部分网络服务进程进行管制。这是系统默认使用的政策(下文均使用此政策)。
minimum:以 targeted 为基础,仅对选定的网络服务进程进行管制。一般不用。
mls:多级安全保护。对所有的进程进行管制。这是最严格的政策,配置难度非常大。一般不用,除非对安全性有极高的要求。
政策可以在 /etc/selinux/config 中设定。
3.4 安全上下文(Security Context)
安全上下文是 SELinux 的核心。
安全上下文我自己把它分为「进程安全上下文」和「文件安全上下文」。
一个「进程安全上下文」一般对应多个「文件安全上下文」。可以看做一个部门对应的该部门的成员。
只有两者的安全上下文对应上了,进程才能访问文件。它们的对应关系由政策中的规则决定。
文件安全上下文由文件创建的位置和创建文件的进程所决定。而且系统有一套默认值,用户也可以对默认值进行设定。
需要注意的是,单纯的移动文件操作并不会改变文件的安全上下文。
安全上下文的结构及含义
安全上下文有四个字段,分别用冒号隔开。形如:system_u:object_r:admin_home_t:s0。
3.5 SELinux 的工作模式
SELinux 有三种工作模式,分别是:
enforcing:强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。
permissive:宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。
disabled:关闭 SELinux。
SELinux 工作模式可以在 /etc/selinux/config 中设定。
如果想从 disabled 切换到 enforcing 或者 permissive 的话,需要重启系统。反过来也一样。
enforcing 和 permissive 模式可以通过 setenforce 1|0 命令快速切换。
需要注意的是,如果系统已经在关闭 SELinux 的状态下运行了一段时间,在打开 SELinux 之后的第一次重启速度可能会比较慢。因为系统必须为磁盘中的文件创建安全上下文(我表示我重启了大约 10 分钟,还以为是死机了……)。
SELinux 日志的记录需要借助 auditd.service 这个服务,请不要禁用它。
3.6 SELinux 工作流程
这里引用一张图片,不必过多解释。
注:上面的安全文本指的就是安全上下文。
四、SELinux 基本操作
4.1 查询文件或目录的安全上下文
命令基本用法
ls -Z <文件或目录>
例如:查询 /etc/hosts 的安全上下文。
[root@localhost ~]# ls -Z /etc/hosts
-rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/hosts
4.2 查询进程的安全上下文
命令基本用法
ps auxZ | grep -v grep | grep <进程名>
例如:查询 Nginx 相关进程的安全上下文。(有时查不到需先开启nginx服务)
[root@localhost ~]# /usr/local/nginx/sbin/nginx
[root@localhost ~]# ps auxZ|grep -v grep|grep nginx
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 11440 0.0 0.0 46104 1160 ? Ss 16:48 0:00 nginx: master process /usr/local/nginx/sbin/nginx
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 www 11442 0.0 0.0 48656 2008 ? S 16:48 0:00 nginx: worker process
4.3 手动修改文件或目录的安全上下文
命令基本用法
chcon <选项> <文件或目录 1> [<文件或目录 2>…]
参数
-u <值> //修改安全上下文的用户字段
-r <值> //修改安全上下文的角色字段
-t <值> //修改安全上下文的类型字段
-l <值> //修改安全上下文的级别字段
–reference=<文件或目录> //修改与指定文件或目录相一致的安全上下文
-R //递归操作
-h //修改软链接的安全上下文(不加此选项则修改软链接对应文件)
用法举例
修改 test 的安全上下文为 aaa_u:bbb_r:ccc_t:s0。
[root@localhost ~]#chcon -u aaa_u -r bbb_r -t ccc_t test
4.4 把文件或目录的安全上下文恢复到默认值
命令基本用法
restorecon [选项] <文件或目录 1> [<文件或目录 2>…]
选项参数
-v打印操作过程
-R递归操作
例如:添加一些网页文件到 Nginx 服务器的目录之后为这些新文件设置正确的安全上下文。
[root@localhost ~]#restorecon -R /usr/share/nginx/html/
4.5 查询系统中的布尔型规则及其状态
命令基本用法
getsebool -a
由于该命令要么查询所有规则,要么只查询一个规则,所以一般都是先查询所有规则然后用 grep 筛选。
用法举例
查询与 httpd 有关的布尔型规则。
[root@localhost ~]getsebool -a | grep httpd
httpd_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_connect_ftp --> off
httpd_can_connect_ldap --> off
httpd_can_connect_mythtv --> off
...(省略)
4.6 开关一个布尔型规则
命令基本用法
setsebool [选项] <规则名称> <on|off>
-P重启依然生效
例如:开启 httpd_anon_write 规则。
root@localhost ~]setsebool -P httpd_anon_write on
4.7 添加目录的默认安全上下文
命令基本用法
semanage fcontext -a -t <文件安全上下文中的类型字段> “<目录(后面不加斜杠)>(/.*)?”
注:目录或文件的默认安全上下文可以通过 semanage fcontext -l 命令配合 grep过滤查看。
例如:为 Nginx 新增一个网站目录 /usr/share/nginx/html2 之后,需要为其设置与原目录相同的默认安全上下文。
root@localhost ~]semanage fcontext -a -t httpd_sys_content_t "/usr/share/nginx/html2(/.*)?"
4.8 添加某类进程允许访问的端口
命令基本用法
semanage port -a -t <服务类型> -p <协议> <端口号>
注:各种服务类型所允许的端口号可以通过 semanage port -l 命令配合 grep 过滤查看。
例如:为 Nginx 需要使用 10080 的端口用于 HTTP 服务。
root@localhost ~]semanage port -a -t http_port_t -p tcp 10080
五、SELinux 错误分析和解决
5.1 认识 SELinux 日志
当开启了 SELinux 之后,很多服务的一些正常行为都会被视为违规行为(标题及下文中的错误均指违规行为)。
这时候我们就需要借助 SELinux 违规日志来分析解决。
SELinux 违规日志保存在/var/log/audit/audit.log中。
/var/log/audit/audit.log 的内容很多,每一行一个内容,选取前两个:
[root@localhost ~]# head -2 /var/log/audit/audit.log
type=LOGIN msg=audit(1606911601.598:244): pid=10313 uid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=11 res=1
type=USER_START msg=audit(1606911601.631:245): pid=10313 uid=0 auid=0 ses=11 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
该文件的内容很多,而且混有很多与 SELinux 错误无关的系统审计日志。我们要借助 sealert 这个实用工具来帮忙分析(如果提示找不到命令的话请安装 setroubleshoot 软件包)。
5.2 使用 sealert 分析错误
命令基本用法
sealert -a /var/log/audit/audit.log
执行完命令之后,系统需要花一段时间去分析日志中的违规行为并给出分析报告。分析报告的结构讲解请看下图:
(可能会有多个错误进行信息叠加)
linux中的selinux到底是什么,本篇文章彻底明白相关推荐
- 一文彻底明白linux中的selinux到底是什么
一.前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统. SELinux 主要由美国 ...
- Linux中的shell到底是啥,它和bash的关系是什么?
转载:这篇小文章用来扫清一个小小的盲区,首先建立一个概念Linux中的shell到底是什么? - 一步一个小脚印 - 博客园 (cnblogs.com) [一] shell的含义:首先shell的英文 ...
- Linux中关闭SELinux的方法
Linux中关闭SELinux的方法 1.临时关闭:输入命令setenforce 0,重启系统后还会开启. 2.永久关闭:输入命令vi /etc/selinux/config,将SELINUX=enf ...
- linux的vi命令输入C,Linux中C语言简单实现之vi篇(详细内容)
一.vi编辑器介绍 vi是UNIX和Linux操作系统使用的全屏幕文本编辑器,任何一台安装了UNIX或Linux的计算机都会提供vi编辑器,是一个功能强大的编辑器. 1.vi有三种操作模式:命令模式. ...
- Linux中的SELinux与chcon以及Samba实现【转】
一.SELinux SElinux的前身是NSA(美国国家安全局)发起的一个项目.它的目的是将系统加固到可以达到军方级别. 为什么NSA选择Linux呢? 在目前市面上大多数操作系统都是商用闭源的,只 ...
- Linux中的SELinux详解--16
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换 在CentOS6.2 中安装intel 的c++和fortran 的编 ...
- Linux 中的 EOF 到底是什么?
转载自:http://woshijpf.github.io/2016/07/07/Linux%E4%B8%AD%E7%9A%84EOF%E5%88%B0%E5%BA%95%E6%98%AF%E4%BB ...
- linux socket eof,Linux 中的 EOF 到底是什么?
EOF 的定义 EOF 是 end of file 的缩写,表示"文字流"(stream)的结尾.这里的"文字流",可以是文件(file),也可以是标准输入(s ...
- Linux中的shell到底是什么?
一.shell的含义: 首先shell的英文含义是"壳": 它是相对于内核来说的,因为它是建立在内核的基础上,面向于用户的一种表现形式,比如我们看到一个球,见到的是它的壳,而非核. ...
最新文章
- 基于OpenCV的实时停车地点查找
- C/C++版数据结构之链表三
- 常见的水平居中布局方式
- r语言和python-r语言和python学哪个
- mysql 遍历二叉树_【自考】数据结构之二叉树遍历
- [Python人工智能] 一.TensorFlow环境搭建及神经网络入门
- 【狂神说】分析前后端分离开源项目?
- android os build初始化,Android 关于android.os.Build介绍
- $《第一行代码:Android》读书笔记——第6章 数据持久化
- Eclipse安装Egit插件,egit安装特别缓慢
- python开源聊天框架_转载:15个最受欢迎的Python开源框架-阿里云开发者社区
- Oracle 10g 安装教程
- ojdbc6.jar下载Linux,Linux下 和 Windows 下 Oracle Instant Client 的安装.
- 高端物理学名词_物理名词大全
- 请设计输出实数的格式,包括:⑴一行输出一个实数;⑵一行内输出两个实数;⑶一行内输出三个实数。实数用“6.2f“格式输出。
- linux 删除用户 currently logged in,userdel删除用户失败提示:userdel: user * is currently logged in 解决方法...
- 某公司的雇员分为以下若干类: Employee:这是所有员工总的父类.属性:员工的姓名,员工的生日月份。 方法:getSalary(intmonth)
- 电机控制中空间矢量脉宽调制SVPWM与simulink仿真详解
- 【计算机硬件系统设计(华科)——存储器设计(Logisim 实现)】
- 这10个超厉害的工具堪称神器,却很少人知道!