Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1277694
  • 博文数量: 632
  • 博客积分: 2778
  • 博客等级: 大尉
  • 技术积分: 3387
  • 用 户 组: 普通用户
  • 注册时间: 2012-05-31 09:09
个人简介

123

文章分类

全部博文(632)

文章存档

2014年(36)

2013年(33)

2012年(563)

分类: LINUX

2012-12-11 12:17:24

转自:

SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖!
这里学习的是在规则targeted下的一些常用操作
1、查看本机的selinux的状态
[root@localhost ~]# sestatus (查看本机的selinux状态)
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted
这里的mode又分为三种:
(1)、enforcing(这个状态是开启selinux的限制,这个状态下selinux真正的起作用,当某些行为不符合selinux的规则时,直接给它down掉)
(2)、 permissive(这个状态也是开启selinux,这个状态是宽容模式,当某些行为不符合selinux的规则时,发出警告而不是限制)
(3)、disabled (这个状态就是关闭selinux)
2、修改本机的selinux的状态
[root@localhost ~]# getenforce (还可以通过这个指令来查看本机的selinux的状态)
Enforcing
改变selinux的状态可以通过修改两个文档,但是在状态切换的过程中,每次状态的改变必须重启系统,因为系统内核读取的是selinux的二进制的文件,通过系统的重启,把selinux的规则二进制重写,以便系统内核可以顺利读取。
[root@localhost ~]# vi /etc/selinux/config (其一在这里修改)
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted
或者在以下文档修改
[root@localhost ~]# vi /etc/sysconfig/selinux (规则修改,重启系统之后,这两个我文档的内容是一模一样的)
另外如果是在状态enforcing和permissive之间切换时,不仅无需重启系统,而且还可以通过简单的指令来完成
[root@localhost ~]# setenforce (后接下边状态对应的数值即可,1表示开启,0表示宽容)
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]
3、与服务相关的targeted规则
[root@localhost ~]# seinfo (Booleans即是规则(这里成为布林值)的数目,257条)
Statistics for policy file: /etc/selinux/targeted/policy/policy.21
Policy Version & Type: v.21 (binary, MLS)
   Classes:            61    Permissions:       220
   Types:            1785    Attributes:        166
   Users:               3    Roles:               6
   Booleans:          257    Cond. Expr.:       240
   Sensitivities:       1    Categories:       1024
   Allow:          124656    Neverallow:          0
   Auditallow:         42    Dontaudit:        7071
   Role allow:          5    Role trans:          0
   Type_trans:       2093    Type_change:         0
   Type_member:         0    Range_trans:       433
   Constraints:        47    Validatetrans:       0
   Fs_use:             19    Genfscon:           74
   Portcon:           328    Netifcon:            0
   Nodecon:             8    Initial SIDs:       27
 另外可以通过#seinfo -h查看一些seinfo的参数和用法
对seinfo查询出来的布林规则可以通过指令sesearch做进一步的深入探索
sesearch的常用参数(详尽参数可以求助man)
-a:流出所有的相关信息
-b:后接相关的布林值
 -t:后接服务的类别
-h:查看帮助文档
 4、布林值的搜索和修改
(1)、布林值的搜索(通过指令getsebool, 参数只有-a,可以结合管道命令过虑出自己需要的)
[root@localhost ~]# getsebool -a|grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
..............................................
(2)、布林值的修改(通过指令setsebool ,参数只有-P,后接要修改的布林值)
[root@localhost ~]# setsebool -P ftp_home_dir=1(这两个指令的作用一模一样,都是打开ftp的用户的登录的家目录的selinux的规则,让登录用户可以使用自己的家目录(PAM的规则))
或者
[root@localhost ~]# setsebool -P ftp_home_dir on
5、目录预设的安全性文本的查询和修改
这里要用到的指令只有一个:semanage,只是结合不同的参数来完成查询以及修改的工作
参数
-a, --add 增加规则
-d, --delete 删除规则
-m, --modify 修改规则
 -l, --list查看规则,结合相关的选项(fcontext)
(1)、查询文件夹的布林规则
[root@localhost ~]# semanage fcontext -l|grep /var/www/(查看预设的apache相关的的selinux的规则)
/var/www/svn/conf(/.*)?                            all files          system_u:object_r:httpd_sys_content_t:s0 (我们的httpd的主要设置档在conf下)
[root@localhost ~]# cd /var/www
[root@localhost www]# ll -Z
drwxr-xr-x  root      root system_u:object_r:httpd_sys_content_t www(是不是发下type相同呢?都是httpd_sys_content_t)
主要限制的就是这些复杂的type啦,其中身份识别(root system_u)和角色(object_r)只起到辅助的作用
(2)、规则的修改(仍然有两种方式)
首先通过指令chcon
参数
-R 递归的修改
-u 后接相应的身份
-t 后接相应的类别
-r 后接相应的role
例如:
[root@localhost ~]# cd /home/
[root@localhost home]# ll -Z
drwxr-xrwx  root      root      user_u:object_r:user_home_dir_t  public
[root@localhost home]# chcon -t httpd_sys_content_t public/(修改的动作)
[root@localhost home]# ll -Z
drwxr-xrwx  root      root      user_u:object_r:httpd_sys_content_t public
另外可以通过指令restorecon来尝试恢复成预设值,但是不一定会成功
然后就是通过指令semanage 
[root@localhost ~]# semanage fcontext -a -t public_content_t "/srv/samba(/.*)?"(这个指令不要乱操作哦,意思就是尽量不修改不常用的文件夹的预设值)
同样的也可以通过指令restorecon来尝试恢复成预设值,但是不一定会成功
这里就告一段落了
selinux的探索是linux的进阶型学习的部分,作为一个合格的网络管理员,学好是十分必要的!

阅读(6554) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~