目录
SELinux概念
SELinux配置文件
SELINUX 工作模式
SELINUX TYPE策略类型
配置安全上下文
查看安全上下文
修改安全上下文
修改默认的安全上下文
配置策略规则
查看策略规则
修改策略规则状态
SELinux概念
为什么提出SELinux
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作
此时系统管理员无法通过基于用户的标准访问策略(DAC)生成全面、精细的安全策略
此时就需要通过SELinux来实现
SELinux简介
SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;
SELinux就是基于进程安全上下文和文件/目录的安全上下文来实现策略控制
即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作
SELinux作用
SELinux主要目标是防止已遭泄露的系统服务(进程)访问用户数据(文件/目录)
增强现有的安全解决方案
使用SELinux策略来确定某个进程能够访问文件、目录、端口
注意事项
SELinux并不是防病毒软件、并不能够用来替代密码、防火墙和安全系统
SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)
SELinux配置文件
SELinux的主配置文件:/etc/selinux/config
SELINUX 工作模式
ebforcing 强制模式(默认模式)
启用SELinux,并强制执行所有的安全策略规则
permissive 宽容模式
启用SELinux,但是安全策略规则并没有强制执行(即;当策略拒绝访问时,访问仍然可以被允许,但是会发送相关日志信息)
disabled 关闭模式
关闭SELinux,使用DAC访问控制方式(用于不需要增强安全性的环境)
注意事项
当从强制或者宽容模式切换到关闭模式,或从关闭模式切换到其它两种模式,需要重启系统
强制和宽容模式之间的切换不需要重启系统
修改工作模式
可以直接在配置文件修改,也可以使用命令修改
命令修改为临时切换,配置文件修改为永久切换
setenforce 0 切换到宽容模式
1 切换到强制模式
getenforce 查看selinux工作模式
SELINUX TYPE策略类型
策略类型决定了使用那种策略规则来执行进程(主体)可以访问的文件或目录资源(目标)
target
主要对系统中的服务进程进行访问控制
可以限制其它进程和用户
minumum
与Target类似,只不过此策略允许SELinux在不消耗过多资源的情况下运行
一般在低内存设备上使用(相比于target可以选择部分进程进行访问控制)
mls
自定义级别,对进程做访问控制
可以对所有进程做控制
修改策略类型
直接在配置文件修改
sestatus 查看selinux状态(包含策略类型)
配置安全上下文
查看安全上下文
ls -Z 文件 查看文件的安全上下文
ls -dZ 目录 查看目录的安全上下文
ps auxZ | grep 进程 查看进程的安全上下文
字段讲解
安全上下文字段通过:分隔,分为4个字段
用户字段:角色字段:类型:灵敏度
SELinux用户
seinfo -u 列出SELinux中所有的身份
用于标识该数据被哪个身份所拥有(相当于权限中的用户身份)
unconfined_u :不受限的用户,不受SELinux限制的进程所产生的文件大部分就是此用户
system_u: 系统用户,大部分就是系统自己产生的文件
角色字段
seinfo -r 列出SELinux所有的角色
用于表示此数据是进程还是文件/目录
object_r: 代表的时文件/目录资源
system_r:代表的就是进程
类型
seinfo -t 列出SELinux所有的类型
安全上下文最重要的字段,决定着进程是否可以访问文件
在文件/目录的安全上下文中被称为类型,在进程的安全上下文中被称为域
只有主体(进程)的域与目标(文件/目录)的类型匹配时,才可以正常访问
修改安全上下文
chcon命令
chcon -t 文件/目录 修改文件/目录的类型字段
-u 修改安全上下文的身份字段
-r 修改安全上下文的角色字段
-R 对当前目录和目录下的所有文件同时设置
restorecon命令
restorecon -Rv 文件/目录 恢复文件默认的安全上下文
-R 对当前目录和目录下的所有文件同时设置
-v 显示恢复过程
修改默认的安全上下文
只有系统默认目录才有默认的安全上下文,对于新创建的目录,我们需要手工指定默认安全上下文
semange fcontext -l 查询所有的安全上下文
-t 设定默认安全上下文的类型
-m 修改文件/目录的默认安全上下文
-a 添加默认安全上下文
-e 将此文件的/目录的类型复制给另一个文件/目录
semange fcontext -a -t 类型 文件/目录 为文件/目录添加默认的安全上下文类型
semange fcontext -a -e 文件1 文件2 将文件2默认的安全上下文改为此文件1的类型
semange port -a -t http_port_t -p tcp 82 为http_port_t类型添加tcp的82端口
配置策略规则
查看策略规则
查看规则名称
seinfo -b 查看当前策略下的具体规则名称
查看具体规则内容
sesearch --allow -b 规则名 查看此规则名下的允许规则具体内容
sesearch –allow -s 主体的域 查看和指定主体的类型相关的规则(允许的)
sesearch –allow -t 目标的类型 查看和目标的的类型相关的规则(允许的)
--allow 显示允许的规则
--neverallow 显示从不允许的规则
修改策略规则状态
getsebool 规则名 查看此规则是否开启
getsebool -a 查看所有规则是否开启
setsebool -P 规则名=0 将此规则关闭(1表示开启)
-P 表示永久生效