selinux的全名是Security Enhance Linux,它是一个安全的Linux。 Selinux之前的根帐户可以自由访问所有文档和服务;
文件设置为777时,任何用户都可以访问和删除。 这种方式被称为主动访问机制(DAC ),不安全。
DAC自主访问控制:用户根据自己的文件权限决定对文件的操作。 也就是说,根据文件的own、group、other/r、w、x权限进行限制。 Root有最高权限,不能限制。 r、w、x权限的划分太粗。 无法对不同的进程实现限制。
Selinux基于强制访问机制(MAC )。 简单来说,程序和访问对象都有安全标签(只有相应的标签才能授予访问权限),否则即使权限为777也无法访问。
在selinux上,访问控制属性称为安全上下文,所有对象(文件、进程间通信信道、套接字、网络主机等)和代理)进程都具有相关联的安全上下文但是我们最关注的是第三部分
当进程访问资源时,主体进程必须在selinux策略中的规则中释放,才能与目标资源进行安全上下文匹配,匹配失败则无法访问目标,匹配成功则访问目标由于最终是否可以访问目标还涉及文件系统的rwx权限设置,因此如果启用selinux后权限不匹配,则必须一步一步地分析可能出现的问题。
以上简单理解即可,以下内容要重点把握
1.selinux状态查看与配置:
selinux配置文件的位置:/etc/selinux/config,还有指向/etc/sysconfig/selinux的链接。
使用config文件配置selinux (使用配置文件更改selinux状态是永久更改,在重新启动系统之前无效) )。
[ root @ localhost~~ ] # ls/etc/selinux/config-l-rw-r--.1 root root 547 Jan 10193:48/etc/selinux/conux ss sys config/selinux-- ./selinux/config文件的内容如下图所示。
[ root @ localhost~] # vim/etc/sys config/selinux
selinux=enforcing
#这定义了selinux的状态
#enforcing-强制模式系统,受selinux保护。 如果违反了战略,就不能继续操作。
#permissive-提示模式系统不受selinux保护,只需接收警告消息。 permissive启用了selinux,但如果违反了策略,则即使继续操作,也会记录违反的内容(
#禁用禁用selinux
selinuxtype=targeted
#此项定义了selinux使用哪个策略模块保护系统。 targeted仅针对Apache、sendmail、bind、postgresql、nfs和cifs等网络服务提供保护。
所有上述策略配置都位于/etc/selinux目录中,且目录和策略名称相同。
使用selinux相关命令查看和更改状态:(立即生效,但只是临时的)
(1. ) sestatus询问selinux的动作状态
sestatus
)2. ) selinuxenabled检查selinux是否打开,并与echo $合作?返回值为0打开,1关闭。
[根@ localhost~] # selinux enabled [根@ localhost~] # echo $? 0 )3. ) getenforce查看selinux的状态
[ root @ localhost~] # getenforceenforcing
(4. )设置setEnforceSelinux的运行状态,并启用“1启用”(enforce )、“0关闭”(off ) (Permissive )
[根@ localhost~] # setenforce0[根@ localhost~] # getenforcepermissive [根@ localhost~] # setenforce1[根]
要查看文件的上下文,请使用ls -Z
[ root @ localhost~] # ls/home/- axdxn
您可以使用ps Z查看流程上下文
[ root @ localhost~] # psauxz|grep httpd
显示用
户上下文可以用id -z[root@localhost ~]# id -Zunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023安全上下文以用户:角色:类型(域)标识符的形式出现。(这里的用户指的是selinux用户)
3.以下是复制和移动文件时安全上下文的变化:
以httpd为例,这个httpd的进程可以访问/调皮的星月/ww/html 下的文档对象
在/root目录下创建两个测试页文件(如test1.html、test2.html)
[root@localhost ~]# ls -ldZ /root/dr-xr-x---. root root system_u:object_r:admin_home_t:s0 /root/[root@localhost ~]# ls -axdxn /root/test*.html-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /root/test1.html-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /root/test2.html复制test1.html文件到/调皮的星月/www/html目录下,剪切test2.xml文件到/调皮的星月/www/html目录下
[root@localhost ~]# cp /root/test1.html /调皮的星月/www/html/[root@localhost ~]# mv /root/test2.html /调皮的星月/www/html/查看html目录下文件的安全上下文
[root@localhost ~]# ls -axdxn /调皮的星月/www/html/-rw-r--r--. root root unconfined_u:object_r:调皮的星月_t:s0 test1.html-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 test2.html通过上图可以看到剪切操作时文件的上下文没有发生改变,仍然是原上下文,而复制操作时文件的上下文继承了目标目录的上下文。
通过浏览器访问这两个网页文件
可以看到test.html页面能访问而test2.html却被拒绝访问
查看权限发现Apache用户对这两个文件都具有r权限,但test2.html文件却拒绝访问
原因就是因为httpd进程不能访问域类型标签是admin_home_t的资源,被selinux将访问拒绝了。
查看日志:
[root@localhost ~]# tail /调皮的星月/log/audit/audit.log | grep httpd通过日志记录也能看到test2.html文件拒绝httpd进程访问。
由于此文件记录的信息很多不宜直接查看,可以借助audit2why和audit2allow
[root@localhost ~]# audit2why </调皮的星月/log/audit/audit.log
注意:提供audit2why和audit2allow工具软件包
搜集selinux产生的日志,另一个工具是setroubleshoot,对应的软件包为
setroubleshoot将错误信息写入/调皮的星月/log/messages中
[root@localhost ~]# tail /调皮的星月/log/messages | grep setroubleshoot
上面的错误信息大概说的是selinux阻止httpd访问这个文件,要查看完整的信息,请执行sealert命令
可以用sesearch【--allow】【-s 主体类别】【-t 目标类别】【-b】查询详细规则
sesearch命令由下列软件包提供
找出目标资源类别为httpd_sys_content_t的相关信息
从上图显示信息表示[allow 主体程序安全上下文类别 目标资源安全上下文类别],说明这个资源类别可以被哪个主体程序类别所读取。
找出主体程序为httpd_t相关的所有信息
从上面的数据就可以看出程序httpd_t为个类别可以访问的哪些资源类别。
如何解决上述问题呢?解决方法就是更改test2.html文件的上下文。有两种方式,一种是通过restorerecon( restore context) 修复继承当前目录默认的上下文;一种是通过chcon(change context) 修改当前的上下文。
a.使用restorerecon( restore context) 修复继承当前目录默认的上下文
分两步实现:
首先为/调皮的星月/www/html 这个目录下的所有文件添加默认标签类型:
semanagefcontext -a -thttpd_sys_content_t '/调皮的星月/www/html(/.*)?'
因为html目录的默认标签类型就是httpd_sys_content_t,所以此步可以省略
然后用新的标签类型标注已有文件:
restorecon -Rv /调皮的星月/www/html/, 之后httpd就可以访问该目录下的文件了。
semanage和restorecon命令是由下列软件包提供的
b.使用chcon (change context) 修改当前的上下文
注:
chcon意思是change context
-t type 类型
-R recursive 递归(特别适用于改变某个目录下所有文件的context)
-u user
-r role
或
--reference表示用test1.html文件的上下文修改test2.html文件的上下文。
最后再看一个概念,SELinux的布尔值。这个布尔值类似一个开关,打开的话,他对应的一些服务就允许执行,否则的话就拒绝执行。
看看有哪些布尔值
也可用semanage命令#semanageboolean –l
知道了布尔值的名字,可以通过sesearch 来确认他关联了哪些服务的域,比如httpd_enable_homedir允许下列规则,如果设置为off的话,那么他们都是无法访问的。
设置boolean值,-P为设置永久生效.
#setsebool [-P] 布尔值 on/off
下面看一个与布尔值有关的例子
确认已经启用了Selinux、启动 FTP:
在匿名访问目录下创建 2 个文件进行测试,一个是在该目录下手动创建,这样
该文件会自动继承/调皮的星月/ftp/pub 下的目录上下文的值,一个用 mv 命令从 root 目录下移
动过来,这样的文件会保留 root 目录下的安全上下文,如下
使用匿名登录测试:
发现这里看不到 root.txt 文件
已知系统启动了 Selinux,先查看系统日志,有两个工具可以收集到 Selinux 产生的
日志,一个是 setroubleshoot,一个是 audit,先使用 audit 工具,使用方法
如下:
系统中提供了 audit 相关的命令,常用的有 audit2why 和 audit2allow,audit 产生的日志
放在/调皮的星月/log/audit, 由于此文件记录的信息很多不宜直接查看,可以借助audit2why
命令,首先启动 audit
在客户端登录 FTP 服务器时会出发 audit deamon 产生日志:
AVC 是 access vector cache 的缩写,目的是记录所有与 SELinux 有关的存取统计资料。
根据日志中的建议,使用 audit2allow 命令查看给出的建议如下:
验证布尔值中有关 FTP 的定义
发现ftp_home_dir --> off,文件 root.txt 的类型刚好是 root:object_r:user_home_t:s0
所以更改此 bool 值就可以
(-P 是把该修改写到文件,下次启动仍然有效)
客户端登录测试,发现 root.txt 文件就可以访问了
总结一下,如果搭配了某个服务器,然后客户端无法正常访问,应该按照下面的顺序进行排错:
1.该服务的配置文件中是否开启了相关的权限 ,比如是否允许匿名用户写入等等;
2.文件系统的权限,比如是否需要使用chmod修改权限
3.SELinux的上下文和布尔值
2018!祝大家天天有个好心情!!
希望对你有所帮助吧!!!!