初識selinux

1、selinux介紹
node

    1.selinux歷史python

    SELinux: Secure Enhanced Linux,是美國國家安全局「NSA=The National Security Agency」和SCC(Secure Computing Corporation)開發的Linux的一個強制訪問控制的安全模塊。2000年以GNU GPL發佈,Linux內核2.6版本後集成在內核中linux

    DAC:Discretionary Access Control自由訪問控制數據庫

    MAC:Mandatory Access Control 強制訪問控制centos

    

        DAC環境下進程是無束縛的緩存

        MAC環境下策略的規則決定控制的嚴格程度安全

        MAC環境下進程能夠被限制的服務器

        策略被用來定義被限制的進程可以使用那些資源(文件和端口)網絡

        默認狀況下,沒有被明確容許的行爲將被拒絕less

    2.selinux的四種工做類型

    

        (1)strict: centos5,每一個進程都受到selinux的控制

         (2)targeted: 用來保護常見的網絡服務,僅有限進程受到selinux控制,只監控容易被***的進程,rhel4只保護13個服務,rhel5保護88個服務

        (3)minimum:centos7,修改過的targeted,只對選擇的網絡服務

        (4)mls:提供MLS(多級安全)機制的安全性

        (5)minimum和mls穩定性不足,未加以應用

    3.selinux安全上下文

        (1)傳統Linux,一切皆文件,由用戶,組,權限控制訪問

        (2)在SELinux中,一切皆對象,由存放在Inode的擴展屬性域的安全元素所控制其訪問。

        (3)全部文件和端口資源和進程都具有安全標籤:安全上下文」(security context)

        (4)安全上下文有五個元素組成:

            user:role:type:sensitivity:category

            user_u:object_r:tmp_t:s0:c0

        (5)實際上下文:存放在文件系統中,ls –Z;ps–Z

        (6)指望(默認)上下文:存放在二進制的SELinux策略庫(映射目錄和指望安全上下文)中

            semanage fcontext–l

    4.五個安全元素

        (1)User:指示登陸系統的用戶類型,如root,user_u,system_u,多數本地進程都屬於自由(unconfined)進程

        (2)Role:定義文件,進程和用戶的用途:文件:object_r,進程和用戶:system_r

        (3)Type:指定數據類型,規則中定義何種進程類型訪問何種文件Target策略基於type實現,多服務共用:public_content_t

        (4)Sensitivity:限制訪問的須要,由組織定義的分層安全級別,如unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級,s0最低,Target策略默認使用s0

        (5)Category:對於特定組織劃分不分層的分類,如FBI Secret,NSA secret, 一個對象能夠有多個categroy,c0-c1023共1024個分類,Target 策略不使用cateaory

    5.selinux策略

        (1)對象(object):全部能夠讀取的對象,包括文件、目錄和進程,端口等,

        (2)主體:進程稱爲主體(subject)

        (3)SELinux中對全部的文件都賦予一個type的文件類型標籤,對於全部的進程也賦予各自的一個domain的標籤。Domain標籤可以執行的操做由安全策略裏定義。

        (4)當一個subject試圖訪問一個object,Kernel中的策略執行服務器將檢查AVC (訪問矢量緩存Access Vector Cache), 在AVC中,subject和object的權限被緩存(cached),查找「應用+文件」的安全環境。而後根據查詢結果容許或拒絕訪問

        (5)安全策略:定義主體讀取對象的規則數據庫,規則中記錄了哪一個類型的主體使用哪一個方法讀取哪個對象是容許仍是拒絕的,而且定義了哪一種行爲是充許或拒絕


2、設置selinux

    1.配置selinux

       (1) SELinux是否啓用

       (2) 給文件從新打安全標籤

       (3) 給端口設置安全標籤

       (4) 設定某些操做的布爾型開關

       (5) SELinux的日誌管理

    2.selinux的狀態:

       (1) enforcing:強制,每一個受限的進程都必然受限

       (2) permissive: 容許,每一個受限的進程違規操做不會被禁止,但會被記錄於審計日誌

       (3) disabled: 禁用

    注意:

        關閉狀態建立的文件不會有selinux標籤

        從新開啓後需重啓,會自動給沒有標籤的文件打上標籤

    3.相關命令:

    

       (1) getenforce: 獲取selinux當前狀態

       (2) sestatus:查看selinux狀態

       (3) setenforce0|1

            0: 設置爲permissive

            1: 設置爲enforcing

    4.配置文件

        (1)/boot/grub/grub.conf

            使用selinux=0禁用SELinux

       (2) /etc/sysconfig/selinux

       (3) /etc/selinux/config

       (4) SELINUX={disabled|enforcing|permissive}

    5.修改selinux安全標籤

        (1)給文件從新打安全標籤     

            chcon[OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...

            chcon[OPTION]... --reference=RFILE FILE... 參考文件修改安全上下文標籤

        (2)恢復目錄或文件默認的安全上下文

            restorecon[-R] /path/to/somewhere

    6.默認安全上下文查詢與修改

        (1)semanage來自policycoreutils-python包

        (2)查看默認的安全上下文

            semanagefcontext–l

        (3)添加安全上下文

            semanagefcontext-a –t httpd_sys_content_t‘/testdir(/.*)?’

            restorecon–Rv/testdir

        (4)刪除安全上下文

            semanagefcontext-d –t httpd_sys_content_t‘/testdir(/.*)?’

    7.selinux端口標籤

        (1)查看端口標籤

            semanageport –l

        (2)添加端口

            semanageport -a -t port_label-p tcp|udpPORT

            semanage port -a -t http_port_t -p tcp 9527

        (3)刪除端口

            semanageport -d -t port_label-p tcp|udpPORT

            semanage port -d -t http_port_t -p tcp 9527

        (4)修改

            

            semanageport -m -t port_label-p tcp|udpPORT

            semanageport -m -t http_port_t-p tcp9527

3、selinux布爾值

    1.布爾值規則:

        getsebool

        setsebool

    2.查看bool命令

        

        getsebool[-a] [boolean]

        semanageboolean–l

        semanageboolean-l –C 查看修改過的布爾值

    3.設置bool值命令

           

        setsebool[-P] booleanvalue

        setsebool[-P] Boolean=value

4、selinux日誌管理及幫助

    1.selinux日誌管理

        yum install setroublesshoot*(重啓生效)

        將錯誤的信息寫入/var/log/message

        grep setroubleshoot/var/log/messages

        sealert-l UUID

        查看安全事件日誌說明

        sealert-a /var/log/audit/audit.log

        掃描並分析日誌

    2.selinux幫助

        

        [root@serverX ~]# yum -y install selinux-policy-devel

        [root@serverX ~]# mandb

        [root@serverX ~]# man -k _selinux

相關文章
相關標籤/搜索