Chinaunix首页 | 论坛 | 博客
  • 博客访问: 136907
  • 博文数量: 69
  • 博客积分: 39
  • 博客等级: 民兵
  • 技术积分: 360
  • 用 户 组: 普通用户
  • 注册时间: 2012-02-24 17:08
文章分类

全部博文(69)

文章存档

2012年(69)

分类:

2012-10-29 19:26:45

原文地址:SELinux《转载》 作者:勤劳致富linux

一、SELinux简介

RedHat Enterprise Linux AS 3.0/4.0中安全面的最大变化就在于整合了SELinux的支持。

SELinux的全称是Security-Enhanced Linux,是由美国国家安全局NSA研发的访问控制体制。

SELinux能够最大限度地确保Linux系统的安全。至于他的作用到底有多大,举一个简单的例子能够证实:

没有SELinux保护的Linux的安全级别和Windows相同,是C2级,但经过保护 SELinux保护的Linux,安全级别则能够达到B1级。如:我们把/tmp目录下的任何文档和目录权限配置为0777,这样在没有SELinux保 护的情况下,任何人都能够访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许您访问/tmp下的内容,但SELinux的安全策略会继续检查您是否能够访问。

NSA推出的SELinux安全体系结构称为 Flask,在这一结构中,安全性策略的逻辑和通用接口一起封装在和操作系统单独的组件中,这个单独的组件称为安全服务器。SELinux的安全服务器定 义了一种混合的安全性策略,由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器,能够支持不同的安全策略。SELinux使用策略配置语言定义安全策略,然后通过checkpolicy 编译成二进制形式,存储在文档(如目标策略/etc/selinux/targeted/policy/policy.18)中,在内核引导时读到内核空 间。这意味着安全性策略在每次系统引导时都会有所不同。

SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格 (strict)策略。有限策略仅针对部分系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。有限策略模式下,9个(可 能更多)系统服务受SELinux监控,几乎任何的网络服务都受控。配置文档是/etc/selinux/config,一般测试过程中使用 “permissive”模式,这样仅会在违反SELinux规则时发出警告,然后修改规则,最后由用户觉得是否执行严格“enforcing”的策略, 禁止违反规则策略的行为。

规则决定SELinux的工作行为和方式,策略决定具体的安全细节如文档系统,文档一致性。

在安装过程中,能够选择“激活”、“警告”或“关闭”SELinux。默认配置为“激活”。

安装之后,能够在“应用程式”-->“系统配置”-->“安全级别”,或直接在 控制台窗口输入“system-config- securitylevel”来打开“安全级别”配置窗口。在“SELinux”选项页中,我们不但能够配置“启用”或“禁用”SELinux,而且还能 够对已内置的SELinux策略进行修改。

SELinux相关命令:

ls -Z

ps -Z

id -Z

分别能够看到文档,进程和用户的SELinux属性。

chcon 改变文档的SELinux属性。

getenforce/setenforce查看和配置SELinux的当前工作模式。

修改配置文档/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。

二、案例分析

Apache - "Document root must be a directory" 问题?

有可能和这个问题并发的问题更有 403 Forbidden 禁止访问的问题。

现象描述:

不使用系统默认的 /var/www/html作为系统的Document Root,自己新建一个目录后修改/etc/httpd/conf/httpd.conf 中的配置,然后重起Apache的Daemon,发现Apache无法起动,系统报错:

  Document root must be a directory

但是,我们配置的DocumentRoot 的确是个目录,而且apache用户具备可读权限。

另一种情况:新建一个虚拟目录或文档后,无法访问,显示 Forbidden, 403 Error,但文档或目录有可读权限。

问题产生的原因:

一开始想来想去想不出为什么,但是给我感觉是权限的问题,用传统的Linux的思维方式来看,权限绝对没有问题。但是仔细一想,SELinux是不是会有其他安全的设定?

检查 avcmessage,查看 /var/log/messages文档,发现有类似以下内容的这样一段:

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

path=/var/www/html/about.html dev=dm-0 ino=373900

scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t

tclass=file

嘿嘿,问题找到了,果然是SELinux的新特性搞的鬼。我把目录或文档设成了 user_home_t类型,因此apache的进程没有权限,无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进程只能访问httpd_sys_content_t类型的目录或文档。

解决办法:

很简单,把目录或文档的策略类型改成 httpd_sys_content_t 就能够了。

# chcon -t httpd_sys_content_t [file_name | dir_name]

然后能够用 ls -laZ 命令查看文档目录的策略类型。


阅读(616) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~