首页 文章 精选 留言 我的

SELinux安全

2017-03-08 747

一、SELinux配置文件

在CentOS 7系统中部署SELinux非常简单,由于SELinux已经作为模块集成到内核中,默认SELinux已经处于激活状态。对管理员来说,更多的是需要配置与管理SELinux,CentOS 7系统中SELinux全局配置文件为/etc/sysconfig/selinux,内容如下:

[root@centos7 ~]# vim /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

SELinux=enforcing为SELinux总开关,有效值可以是enforcing、permissive或disabled。

其中,disabled代表禁用SELinux功能,由于SELinux是内核模块功能,所以如果设置禁用,需要重启计算机。permissive代表仅警告模式,处于此状态下时,当主题程序试图访问无权限的资源时,SELinux会记录日志但不会拦截该访问,也就是最终访问是成功的,只是在SELinux日志中记录而已。enforcing模式代表强制开启,SELinux会拦截非法的资源访问并记录相关日志。


使用setenforce可以临时在enforcing模式与permissive模式之间切换,切换会被立刻应用于当前系统,计算机重启后无效,永久修改模式需要修改配置文件。

[root@centos7 ~]# setenforce 0			#设置SELinux为permissive模式
[root@centos7 ~]# setenforce 1			#设置SELinux为enforcing模式


二、SELinux安全上下文

SELinux会为进程与文件添加安全信息标签,如:SELinux用户、角色、类型以及可选的级别。当运行SELinux后所有这些信息都是访问控制的依据。下面通过一个实例文件查看SELinux安全上下文,使用ls -Z命令就可以看到文件或目录的这些上下文信息,而ps aux –Z则可以查看进程的安全上下文信息:

[root@centos7 ~]# ls -Z anaconda-ks.cfg 
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
[root@centos7 ~]# ps aux -Z

SELinux的安全上下文包括

用户:角色:类型:级别


三、SELinux排错

不管SELinux策略是允许还是拒绝资源的访问请求行为,都会记录日志,也就是AVC(Access Vector Cache)。所有SELinux拒绝的消息都会被记录进日志,根据系统中安装运行的服务进程不同,拒绝日志消息会被记录到不同的文件中,表6-2列出了进程与日志文件的关系。

表6-2

日志文件                      进程

/var/log/audit/audit.log           auditd服务开启

/var/log/messages                auditd服务关闭,rsyslogd服务开启

/var/log/audit/audit.log,/var/log/messages安装setroubleshoot相关软件包

autitd与rsyslogd同时开启


对于大多数生产环境中的服务器而言,更多的是没有部署安装图形界面的Linux系统,我们需要手动查看日志文件。在此建议管理员安装setroubleshoot相关的软件包,这样可以将原本生涩的AVC拒绝日志转换为可读性比较高的setroubleshoot日志。查看日志可以使用如下两种方法:

[root@centos7 ~]# grep setroubleshoot /var/log/messages
[root@centos7 ~]# grep denied /var/log/audit/audit.log

查看messages日志会提示,根据黑体字提示运行sealert命令才可以看到人性化报错信息。

setroubleshoot: SELinux is preventing /usr/sbin/httpd from read access on the file index.html. For complete SELinux messages. run sealert -l 7082b8b4-70f4-42fb-92ea-08a51299d080

[root@centos7 ~]# sealert -l 7082b8b4-70f4-42fb-92ea-08a51299d080


四、修改安全上下文

有多种方式可以修改与管理SELinux安全上下文,如:chcon、semanage、fcontext以及restorecon命令。

1. chcon命令

描述:修改文件SELinux安全上下文。

用法:chcon [选项] [-u SELinux用户] [-r 角色] [-l 范围] [-t 类型] 文件

chcon [选项] --reference=参考文件 文件

选项:-u 修改用户属性

-r 修改角色属性

-l 修改范围属性

-t 修改类型属性

示例:

(1)修改文件安全上下文。

[root@centos7 ~]# cp --preserve=all /etc/passwd /root/ #复制文件(保留上下文信息)
[root@centos7 ~]# ls -Z /root/passwd			 #查看文件SELinux安全上下文
[root@centos7 ~]# chcon -t admin_home_t /root/passwd #修改文件安全上下文中的类型
[root@centos7 ~]# ls -Z /root/passwd

(2)修改目录安全上下文。

[root@centos7 ~]# chcon -R -t admin_home_t /root/	  #递归修改目录安全上下文

(3)根据参考文件修改目标文件安全上下文。

[root@centos7 ~]# chcon --reference=/etc/passwd /root/passwd

通过chcon修改的安全上下文并不是SELinux预设的安全上下文,当文件系统重置SELinux安全标签或使用restorecon命令重置指定目录的安全标签后,所有文件与目录的安全标签会被还原为系统预设值,如果需要修改SELinux默认的预设安全上下文,需要使用semanage命令添加或修改。

五、semanage命令

描述:SELinux策略管理工具。

用法:semanage fcontext [-S store] -{a|d|m|l|n|D} [-frst] file_spec

选项:-a,--add添加预设安全上下文

-d,--delete删除指定的预设安全上下文

-D,--deleteall    删除所有的预设自定义上下文

-m,--modify修改指定的预设安全上下文

-l,--list     显示预设安全上下文

-n,--noheading     不显示头部信息

示例:

(1)查看SELinux策略默认的预设安全上下文信息,系统将列出策略中定义的所有目录与安全上下文信息。

[root@centos7 ~]#semanage fcontext -l

(2)修改策略,添加一条新的预设安全上下文信息。

[root@centos7 ~]# semanage fcontext -a -t samba_share_t /test/test.txt
[root@centos7 ~]# mkdir /test; touch /test/test.txt
[root@centos7 ~]# ls -Z /test/test.txt


(3)使用restorecon命令,还原test.txt文件的安全上下文为预设值。

[root@centos7 ~]# restorecon /test/test.txt
[root@centos7 ~]# ls -Z /test/test.txt


(4)递归设置目录的预设安全上下文。

[root@centos7 ~]# semanage fcontext -a -t httpd_sys_content_t "/site/www(/.*)?"
[root@centos7 ~]# mkdir -p /site/www/{web1,web2}
[root@centos7 ~]# touch /site/www/{web1,web2}/index.html
[root@centos7 ~]# ls -RZ /site/www
[root@centos7 ~]# restorecon -R /site/


(5)删除预设安全上下文。

[root@centos7 ~]# semanage fcontext -d /test/ test.txt

(6)检查预设SELinux安全上下文。

[root@centos7 ~]# matchpathcon /site/www/

6.2.6 查看与修改布尔值

SELinux布尔值可以实时被修改。如,你可以在不重新加载或编译SELinux策略的情况下允许服务访问NFS文件系统。getsebool是用来查看SELinux布尔值的命令,用法比较简单,-a选项用来查看所有的布尔值。一般建议管理员通过管道过滤自己需要的布尔值参数,如getsebool -a |grep ftp过滤与FTP相关的布尔值信息,显示效果中左侧为关键词,右侧为开关,on代表开,off代表关,具体命令如下。

[root@centos7 ~]# getsebool -a
abrt_anon_write  off
abrt_handle_event  off
allow_console_login  on
allow_cvs_read_shadow  off
allow_daemons_dump_core  on
allow_daemons_use_tcp_wrapper  off
allow_daemons_use_tty  on
allow_domain_fd_use  on
… …部分内容省略… …


修改SELinux布尔值状态也非常简单,使用setsebool name X即可实现。其中,name是布尔值名称,X代表on或off。默认setsebool命令修改的布尔值参数会立即生效,但计算机重启后会被还原,如果希望永久修改,需要使用-p参数。

[root@centos7 ~]# setsebool ftp_home_dir on
[root@centos7 ~]# setsebool -p ftp_home_dir on


上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://blog.51cto.com/manual/1904565

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

如何找到存在Ceph里面的文件

前段时间群友有人问,怎么能找到存在Ceph里面的文件呢,我说为什么要这样问,他说要给领导演示下Ceph的高可用,某个节点down掉之后不影响数据丢失。下面针对于这个前提,做了如下实验,感兴趣的可以试试。 在开始之前先科普下Ceph的基本概念知识。 一张非常经典的寻址图,下面来继续探索Ceph的寻址流程,首先介绍下寻址流程中用到的几个概念。 File——此处的file就是用户需要存储或者访问的文件。对于一个基于Ceph开发的对象存储应用而言,这个file也就对应于应用中的“对象”,也就是用户直接操作的“对象”。 Ojbect——处的object是RADOS所看到的“对象”。Object与上面提到的file的区别是,object的最大size由RADOS限定(通常为2MB或4MB),以便实现底层存储的组织管理。因此,当上层应用向RADOS存入size很大的file时,需要将file切分成统一大小的一系列object(最后一个的大小可以不同)进行存储。为避免混淆,在本文中将尽量避免使用中文的“对象”这一名词,而直接使用file或object进行说明。 PG(Placement Group...
2017-03-08
796
上一篇

SharePoint 2016集成部署Office Web App Server (三)

Office Web App Server既然已经安装完成了,下面我们就来配置一下 首先我们要部署Office Web App Server场,这个场的概念和种类大致分为三种,且部署步骤略有不同, 微软官方的解释和场景描述如下: 1. 使用 HTTP 的、包含一台服务器的 Office Web Apps Server 场 如果您仅将 Office Web Apps Server 部署用于测试或内部使用,并且您不需要向 Lync Server 2013 提供 Office Web Apps Server 功能,则此程序适合您。您将安装使用 HTTP 的、包含一台服务器的 Office Web Apps Server 场。您不需要证书或负载平衡器,但需要不运行任何其他服务器应用程序的专用物理服务器或虚拟机实例。您可以使用此 Office Web Apps Server 场向 SharePoint 2013 和 Exchange Server 2013 提供 Office Web Apps 功能。 2. 使用 HTTPS 的、包含一台服务器的 Office Web Apps Server...
2017-03-09
702
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2025-12-17 大小: 189MB 下载: 1次
Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

时间: 2025-12-17 大小: 1.42GB 下载: 1次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
OpenAi Rocky DeepSeek SpringBoot4 Gemini3 Docker Jdk25 Kubernetes HarmonyOS6 Redis Nacos3 Service Mesh SpringCloud

欢迎您!

登录后,您将获得更多功能!

热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273