设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 公司 数据
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

系统管理员的SELinux指南:这个大问题的42个答案

发布时间:2018-08-13 03:14 所属栏目:117 来源:Alex Callejas
导读:技术沙龙 | 8月25日与多位资深技术大咖探讨小程序电商实战 获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案 一个重要而普遍的事实是,事情并不总是你看上去的那样 ―Douglas Adams,《银河系漫游指南》 安全、坚固、遵从性、策略是末世中系统管理员
技术沙龙 | 8月25日与多位资深技术大咖探讨小程序电商实战

系统管理员的SELinux指南:这个大问题的42个答案

获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案

“一个重要而普遍的事实是,事情并不总是你看上去的那样 …” ―Douglas Adams,《银河系漫游指南》

安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 —— 监控、备份、实施、调优、更新等等 —— 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 Ethan Hunt 的工作一样。

面对这种窘境,一些系统管理员决定去服用蓝色小药丸,因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道,它的答案就是这个 42。

按《银河系漫游指南》的精神,这里是关于在你的系统上管理和使用 SELinux 这个大问题的 42 个答案。

  1. SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。
  2. 两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。
  3. 正确的标签格式是 user:role:type:level(可选)。
  4. 多级别安全Multi-Level Security(MLS)强制的目的是基于它们所使用数据的安全级别,对进程(域)强制实施控制。比如,一个秘密级别的进程是不能读取极机密级别的数据。
  5. 多类别安全Multi-Category Security(MCS)强制相互保护相似的进程(如虚拟机、OpenShift gears、SELinux 沙盒、容器等等)。
  6. 在启动时改变 SELinux 模式的内核参数有:
    • autorelabel=1 → 强制给系统重新标签化
    • selinux=0 → 内核不加载 SELinux 基础设施的任何部分
    • enforcing=0 → 以许可permissive模式启动
  7. 如果给整个系统重新标签化:

    1. # touch /.autorelabel
    2. # reboot

    如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用许可模式引导系统。

  8. 检查 SELinux 是否启用:# getenforce

  9. 临时启用/禁用 SELinux:# setenforce [1|0]

  10. SELinux 状态工具:# sestatus

  11. 配置文件:/etc/selinux/config

  12. SELinux 是如何工作的?这是一个为 Apache Web Server 标签化的示例:

    • 二进制文件:/usr/sbin/httpdhttpd_exec_t
    • 配置文件目录:/etc/httpdhttpd_config_t
    • 日志文件目录:/var/log/httpdhttpd_log_t
    • 内容目录:/var/www/htmlhttpd_sys_content_t
    • 启动脚本:/usr/lib/systemd/system/httpd.servicehttpd_unit_file_d
    • 进程:/usr/sbin/httpd -DFOREGROUNDhttpd_t
    • 端口:80/tcp, 443/tcphttpd_t, http_port_t

    httpd_t 安全上下文中运行的一个进程可以与具有 httpd_something_t 标签的对象交互。

  13. 许多命令都可以接收一个 -Z 参数去查看、创建、和修改安全上下文:

    • ls -Z
    • id -Z
    • ps -Z
    • netstat -Z
    • cp -Z
    • mkdir -Z

    当文件被创建时,它们的安全上下文会根据它们父目录的安全上下文来创建(可能有某些例外)。RPM 可以在安装过程中设定安全上下文。

  14. 这里有导致 SELinux 出错的四个关键原因,它们将在下面的 15 - 21 条中展开描述:

    • 标签化问题
    • SELinux 需要知道一些东西
    • SELinux 策略或者应用有 bug
    • 你的信息可能被损坏
  15. 标签化问题:如果在 /srv/myweb 中你的文件没有被正确的标签化,访问可能会被拒绝。这里有一些修复这类问题的方法:

    • 如果你知道标签:# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
    • 如果你知道和它有相同标签的文件:# semanage fcontext -a -e /srv/myweb /var/www
    • 恢复安全上下文(对于以上两种情况):# restorecon -vR /srv/myweb
  16. 标签化问题:如果你是移动了一个文件,而不是去复制它,那么这个文件将保持原始的环境。修复这类问题:

    • 使用标签来改变安全上下文:# chcon -t httpd_system_content_t /var/www/html/index.html
    • 使用参考文件的标签来改变安全上下文:# chcon --reference /var/www/html/ /var/www/html/index.html
    • 恢复安全上下文(对于以上两种情况):# restorecon -vR /var/www/html/
  17. 如果 SELinux 需要知道 HTTPD 在 8585 端口上监听,使用下列命令告诉 SELinux:# semanage port -a -t http_port_t -p tcp 8585

  18. SELinux 需要知道是否允许在运行时改变 SELinux 策略部分,而无需重写 SELinux 策略。例如,如果希望 httpd 去发送邮件,输入:# setsebool -P httpd_can_sendmail 1

  19. (编辑:ASP站长网)

网友评论
推荐文章
    热点阅读