转自:
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖!
这里学习的是在规则targeted下的一些常用操作
1、查看本机的selinux的状态
[root@localhost ~]# sestatus (查看本机的selinux状态)
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted
这里的mode又分为三种:
(1)、enforcing(这个状态是开启selinux的限制,这个状态下selinux真正的起作用,当某些行为不符合selinux的规则时,直接给它down掉)
(2)、 permissive(这个状态也是开启selinux,这个状态是宽容模式,当某些行为不符合selinux的规则时,发出警告而不是限制)
(3)、disabled (这个状态就是关闭selinux)
2、修改本机的selinux的状态
[root@localhost ~]# getenforce (还可以通过这个指令来查看本机的selinux的状态)
Enforcing
改变selinux的状态可以通过修改两个文档,但是在状态切换的过程中,每次状态的改变必须重启系统,因为系统内核读取的是selinux的二进制的文件,通过系统的重启,把selinux的规则二进制重写,以便系统内核可以顺利读取。
[root@localhost ~]# vi /etc/selinux/config (其一在这里修改)
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted
或者在以下文档修改
[root@localhost ~]# vi /etc/sysconfig/selinux (规则修改,重启系统之后,这两个我文档的内容是一模一样的)
另外如果是在状态enforcing和permissive之间切换时,不仅无需重启系统,而且还可以通过简单的指令来完成
[root@localhost ~]# setenforce (后接下边状态对应的数值即可,1表示开启,0表示宽容)
usage: setenforce [ Enforcing | Permissive | 1 | 0 ]
3、与服务相关的targeted规则
[root@localhost ~]# seinfo (Booleans即是规则(这里成为布林值)的数目,257条)
Statistics for policy file: /etc/selinux/targeted/policy/policy.21
Policy Version & Type: v.21 (binary, MLS)
Classes: 61 Permissions: 220
Types: 1785 Attributes: 166
Users: 3 Roles: 6
Booleans: 257 Cond. Expr.: 240
Sensitivities: 1 Categories: 1024
Allow: 124656 Neverallow: 0
Auditallow: 42 Dontaudit: 7071
Role allow: 5 Role trans: 0
Type_trans: 2093 Type_change: 0
Type_member: 0 Range_trans: 433
Constraints: 47 Validatetrans: 0
Fs_use: 19 Genfscon: 74
Portcon: 328 Netifcon: 0
Nodecon: 8 Initial SIDs: 27
另外可以通过#seinfo -h查看一些seinfo的参数和用法
对seinfo查询出来的布林规则可以通过指令sesearch做进一步的深入探索
sesearch的常用参数(详尽参数可以求助man)
-a:流出所有的相关信息
-b:后接相关的布林值
-t:后接服务的类别
-h:查看帮助文档
4、布林值的搜索和修改
(1)、布林值的搜索(通过指令getsebool, 参数只有-a,可以结合管道命令过虑出自己需要的)
[root@localhost ~]# getsebool -a|grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
..............................................
(2)、布林值的修改(通过指令setsebool ,参数只有-P,后接要修改的布林值)
[root@localhost ~]# setsebool -P ftp_home_dir=1(这两个指令的作用一模一样,都是打开ftp的用户的登录的家目录的selinux的规则,让登录用户可以使用自己的家目录(PAM的规则))
或者
[root@localhost ~]# setsebool -P ftp_home_dir on
5、目录预设的安全性文本的查询和修改
这里要用到的指令只有一个:semanage,只是结合不同的参数来完成查询以及修改的工作
参数
-a, --add 增加规则
-d, --delete 删除规则
-m, --modify 修改规则
-l, --list查看规则,结合相关的选项(fcontext)
(1)、查询文件夹的布林规则
[root@localhost ~]# semanage fcontext -l|grep /var/www/(查看预设的apache相关的的selinux的规则)
/var/www/svn/conf(/.*)? all files system_u:object_r:httpd_sys_content_t:s0 (我们的httpd的主要设置档在conf下)
[root@localhost ~]# cd /var/www
[root@localhost www]# ll -Z
drwxr-xr-x root root system_u:object_r:httpd_sys_content_t www(是不是发下type相同呢?都是httpd_sys_content_t)
主要限制的就是这些复杂的type啦,其中身份识别(root system_u)和角色(object_r)只起到辅助的作用
(2)、规则的修改(仍然有两种方式)
首先通过指令chcon
参数
-R 递归的修改
-u 后接相应的身份
-t 后接相应的类别
-r 后接相应的role
例如:
[root@localhost ~]# cd /home/
[root@localhost home]# ll -Z
drwxr-xrwx root root user_u:object_r:user_home_dir_t public
[root@localhost home]# chcon -t httpd_sys_content_t public/(修改的动作)
[root@localhost home]# ll -Z
drwxr-xrwx root root user_u:object_r:httpd_sys_content_t public
另外可以通过指令restorecon来尝试恢复成预设值,但是不一定会成功
然后就是通过指令semanage
[root@localhost ~]# semanage fcontext -a -t public_content_t "/srv/samba(/.*)?"(这个指令不要乱操作哦,意思就是尽量不修改不常用的文件夹的预设值)
同样的也可以通过指令restorecon来尝试恢复成预设值,但是不一定会成功
这里就告一段落了
selinux的探索是linux的进阶型学习的部分,作为一个合格的网络管理员,学好是十分必要的!