軍工級SELinux

博文參考

http://www.178linux.com/48336
http://www.178linux.com/47812
http://www.178linux.com/49367

SELinux簡介

SELinux歷史

selinux：secure enhanced Linux，是美國國家安全局和scc開發的Linux的一個強制訪問控制的安全模塊。2000年之後以GNUGPL發佈，Linux內核2.6版本後集成在內核中。
     DAC：自由訪問控制。
     MAC：強制訪問控制。
         DAC：DAC環境下進程是無束縛的。
         MAC：MAC環境下策略的規則決定控制的嚴格程度。
         MAC：MAC環境下進程能夠被限制的。
         策略被用來定義被限制的進程可以使用那些資源（文件和端口）
         默認狀況下，沒有明確容許的行爲將被拒絕。

　SELinux的四種工做類型

strict（嚴格的）：對每一個進程都受到selinux的控制。
   targeted（有針對性的）：用來保護常見的網絡服務，僅有限進程受到selinux控制，只監控容易被入侵的進程，rhel4只保護13個服務，rhel5保護88個服務。
   minimum：修改過的targeted，只對選擇的網絡服務。
   mls：提供mls（多級安全）機制的安全性。
   minimum和mls穩定性不足，未加以應用。

SELinux安全上下文

（1）傳統Linux，一切皆文件，由用戶，組，權限控制訪問
        （2）在SELinux中，一切皆對象，由存放在Inode的擴展屬性域的安全元素所控制其訪問。
        （3）全部文件和端口資源和進程都具有安全標籤：安全上下文」（security context）
        （4）安全上下文有五個元素組成：
            user:role:type:sensitivity:category
            user_u:object_r:tmp_t:s0:c0
        （5）實際上下文：存放在文件系統中，ls –Z;ps–Z
        （6）指望(默認)上下文：存放在二進制的SELinux策略庫（映射目錄和指望安全上下文）中
            semanage fcontext–l

五個安全元素

（1）User:指示登陸系統的用戶類型,如root，user_u,system_u，多數本地進程都屬於自由（unconfined）進程
        （2）Role:定義文件，進程和用戶的用途：文件:object_r，進程和用戶：system_r
        （3）Type:指定數據類型，規則中定義何種進程類型訪問何種文件Target策略基於type實現,多服務共用：public_content_t
        （4）Sensitivity:限制訪問的須要，由組織定義的分層安全級別，如unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級，s0最低,Target策略默認使用s0
        （5）Category：對於特定組織劃分不分層的分類，如FBI Secret，NSA secret, 一個對象能夠有多個categroy，c0-c1023共1024個分類，Target 策略不使用cateaory

　SELinux策略

（1）對象(object)：全部能夠讀取的對象，包括文件、目錄和進程，端口等，
       （2）主體：進程稱爲主體(subject)
        (3）SELinux中對全部的文件都賦予一個type的文件類型標籤，對於全部的進程也賦予各自的一個domain的標籤。Domain標籤可以執行的操做由安全策略裏定義。
       （4）當一個subject試圖訪問一個object，Kernel中的策略執行服務器將檢查AVC (訪問矢量緩存Access Vector Cache), 在AVC中，subject和object的權限被緩存(cached)，查找「應用+文件」的安全環境。而後根據查詢結果容許或拒絕訪問
       （5）安全策略：定義主體讀取對象的規則數據庫，規則中記錄了哪一個類型的主體使用哪一個方法讀取哪個對象是容許仍是拒絕的，而且定義了哪一種行爲是充許或拒絕

管理文件安全標籤

1.配置selinux

（1） SELinux是否啓用
   （2） 給文件從新打安全標籤
   （3） 給端口設置安全標籤
   （4） 設定某些操做的布爾型開關
   （5） SELinux的日誌管理

2.selinux的狀態：

（1） enforcing:強制，每一個受限的進程都必然受限
   （2） permissive: 容許，每一個受限的進程違規操做不會被禁止，但會被記錄於審計日誌
   （3） disabled: 禁用
注意：
    關閉狀態建立的文件不會有selinux標籤
    從新開啓後需重啓，會自動給沒有標籤的文件打上標籤

3.相關命令：

（1） getenforce: 獲取selinux當前狀態
   （2） sestatus:查看selinux狀態
   （3） setenforce0|1
        0: 設置爲permissive
        1: 設置爲enforcing

4.配置文件

（1）/boot/grub/grub.conf
        使用selinux=0禁用SELinux
   （2） /etc/sysconfig/selinux
   （3） /etc/selinux/config
   （4） SELINUX={disabled|enforcing|permissive}

5.修改selinux安全標籤

（1）給文件從新打安全標籤     
        chcon[OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE…
        chcon[OPTION]… –reference=RFILE FILE… 參考文件修改安全上下文標籤
    （2）恢復目錄或文件默認的安全上下文或標籤 -R遞歸
        restorecon[-R] /path/to/somewhere

6.默認安全上下文查詢與修改

（1）semanage來自policycoreutils-python包
    （2）查看默認的安全上下文
        semanagefcontext–l
    （3）添加安全上下文
        semanagefcontext-a –t httpd_sys_content_t‘/testdir(/.*)?’
        restorecon–Rv/testdir
    （4）刪除安全上下文
        semanagefcontext-d –t httpd_sys_content_t‘/testdir(/.*)?’

7.selinux端口標籤

管理端口標籤

查看端口標籤
    semanage port –l
添加端口
    semanage port -a -t port_label-p tcp|udp PORT
    semanage port -a -t http_port_t -p tcp 9527
刪除端口
    semanage port -d -t port_label-p tcp|udp PORT
    semanage port -d -t http_port_t -p tcp 9527
修改
    semanage port -m -t port_label-p tcp|udp PORT
    semanage port -m -t http_port_t-p tcp9527

管理SELinux布爾值開關

1.布爾值規則：
        getsebool
        setsebool
    2.查看bool命令
        getsebool[-a] [boolean] 模塊名稱 -a查看全部布爾值
        semanageboolean–l
        semanageboolean-l –C 查看修改過的布爾值
    3.設置bool值命令          
        setsebool[-P] booleanvalue  -P將修改結果保存本地磁盤
        setsebool[-P] Boolean=value

管理日誌

yum install setroublesshoot*（重啓生效）
        將錯誤的信息寫入/var/log/message
        grep setroubleshoot/var/log/messages
        sealert-l UUID
        查看安全事件日誌說明
        sealert-a /var/log/audit/audit.log
        掃描並分析日誌

查看SELinux

yum -y install selinux-policy-devel
mandb
man -k _selinux