系统管理员的 SELinux 指南:这个大问题的 42 个答案
安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 —— 监控、备份、实施、调优、更新等等 —— 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 Ethan Hunt 的工作一样。
面对这种窘境,一些系统管理员决定去服用蓝色小药丸,因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道,它的答案就是这个 42。
按《银河系漫游指南》的精神,这里是关于在你的系统上管理和使用 SELinux 这个大问题的 42 个答案。
- SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。
- 两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。
- 正确的标签格式是
user:role:type:level
(可选)。 - 多级别安全Multi-Level Security(MLS)强制的目的是基于它们所使用数据的安全级别,对进程(域)强制实施控制。比如,一个秘密级别的进程是不能读取极机密级别的数据。
- 多类别安全Multi-Category Security(MCS)强制相互保护相似的进程(如虚拟机、OpenShift gears、SELinux 沙盒、容器等等)。
- 在启动时改变 SELinux 模式的内核参数有:
autorelabel=1
→ 强制给系统重新标签化selinux=0
→ 内核不加载 SELinux 基础设施的任何部分enforcing=0
→ 以许可permissive模式启动
如果给整个系统重新标签化:
# touch /.autorelabel
# reboot
如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用许可模式引导系统。
检查 SELinux 是否启用:
# getenforce
临时启用/禁用 SELinux:
# setenforce [1|0]
SELinux 状态工具:
# sestatus
配置文件:
/etc/selinux/config
SELinux 是如何工作的?这是一个为 Apache Web Server 标签化的示例:
- 二进制文件:
/usr/sbin/httpd
→httpd_exec_t
- 配置文件目录:
/etc/httpd
→httpd_config_t
- 日志文件目录:
/var/log/httpd
→httpd_log_t
- 内容目录:
/var/www/html
→httpd_sys_content_t
- 启动脚本:
/usr/lib/systemd/system/httpd.service
→httpd_unit_file_d
- 进程:
/usr/sbin/httpd -DFOREGROUND
→httpd_t
- 端口:
80/tcp, 443/tcp
→httpd_t, http_port_t
在
httpd_t
安全上下文中运行的一个进程可以与具有httpd_something_t
标签的对象交互。- 二进制文件:
许多命令都可以接收一个
-Z
参数去查看、创建、和修改安全上下文:ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z
当文件被创建时,它们的安全上下文会根据它们父目录的安全上下文来创建(可能有某些例外)。RPM 可以在安装过程中设定安全上下文。
这里有导致 SELinux 出错的四个关键原因,它们将在下面的 15 - 21 条中展开描述:
- 标签化问题
- SELinux 需要知道一些东西
- SELinux 策略或者应用有 bug
- 你的信息可能被损坏
标签化问题:如果在
/srv/myweb
中你的文件没有被正确的标签化,访问可能会被拒绝。这里有一些修复这类问题的方法:- 如果你知道标签:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
- 如果你知道和它有相同标签的文件:
# semanage fcontext -a -e /srv/myweb /var/www
- 恢复安全上下文(对于以上两种情况):
# restorecon -vR /srv/myweb
- 如果你知道标签:
标签化问题:如果你是移动了一个文件,而不是去复制它,那么这个文件将保持原始的环境。修复这类问题:
- 使用标签来改变安全上下文:
# chcon -t httpd_system_content_t /var/www/html/index.html
- 使用参考文件的标签来改变安全上下文:
# chcon --reference /var/www/html/ /var/www/html/index.html
- 恢复安全上下文(对于以上两种情况):
# restorecon -vR /var/www/html/
- 使用标签来改变安全上下文:
如果 SELinux 需要知道 HTTPD 在 8585 端口上监听,使用下列命令告诉 SELinux:
# semanage port -a -t http_port_t -p tcp 8585
SELinux 需要知道是否允许在运行时改变 SELinux 策略部分,而无需重写 SELinux 策略。例如,如果希望 httpd 去发送邮件,输入:
# setsebool -P httpd_can_sendmail 1
SELinux 需要知道 SELinux 设置的关闭或打开的一系列布尔值:
- 查看所有的布尔值:
# getsebool -a
- 查看每个布尔值的描述:
# semanage boolean -l
- 设置某个布尔值:
# setsebool [_boolean_] [1|0]
- 将它配置为永久值,添加
-P
标志。例如:# setsebool httpd_enable_ftp_server 1 -P
- 查看所有的布尔值:
SELinux 策略/应用可能有 bug,包括:
- 不寻常的代码路径
- 配置
- 重定向
stdout
- 泄露的文件描述符
- 可执行内存
- 错误构建的库
开一个工单(但不要提交 Bugzilla 报告;使用 Bugzilla 没有对应的服务)
你的信息可能被损坏了,假如你被限制在某个区域,尝试这样做:
- 加载内核模块
- 关闭 SELinux 的强制模式
- 写入
etc_t/shadow_t
- 修改 iptables 规则
用于开发策略模块的 SELinux 工具:
# yum -y install setroubleshoot setroubleshoot-server
。安装完成之后重引导机器或重启auditd
服务。使用
journalctl
去列出所有与setroubleshoot
相关的日志:# journalctl -t setroubleshoot --since=14:20
使用
journalctl
去列出所有与特定 SELinux 标签相关的日志。例如:# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
当 SELinux 错误发生时,使用
setroubleshoot
的日志,并尝试找到某些可能的解决方法。例如:从journalctl
中:Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
***** Plugin restorecon (99.5 confidence) suggests ************************
If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html
日志:SELinux 记录的信息全在这些地方:
/var/log/messages
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml
日志:在审计日志中查找 SELinux 错误:
# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
针对特定的服务,搜索 SELinux 的访问向量缓存Access Vector Cache(AVC)信息:
# ausearch -m avc -c httpd
audit2allow
实用工具可以通过从日志中搜集有关被拒绝的操作,然后生成 SELinux 策略允许的规则,例如:- 产生一个人类可读的关于为什么拒绝访问的描述:
# audit2allow -w -a
- 查看允许被拒绝的类型强制规则:
# audit2allow -a
- 创建一个自定义模块:
# audit2allow -a -M mypolicy
,其中-M
选项将创建一个特定名称的强制类型文件(.te),并编译这个规则到一个策略包(.pp)中:mypolicy.pp mypolicy.te
- 安装自定义模块:
# semodule -i mypolicy.pp
- 产生一个人类可读的关于为什么拒绝访问的描述:
配置单个进程(域)运行在许可模式:
# semanage permissive -a httpd_t
如果不再希望一个域在许可模式中:
# semanage permissive -d httpd_t
禁用所有的许可域:
# semodule -d permissivedomains
启用 SELinux MLS 策略:
# yum install selinux-policy-mls
。 在/etc/selinux/config
中:SELINUX=permissive
SELINUXTYPE=mls
确保 SELinux 运行在许可模式:
# setenforce 0
使用
fixfiles
脚本来确保在下一次重启时文件将被重新标签化:# fixfiles -F onboot # reboot
创建一个带有特定 MLS 范围的用户:
# useradd -Z staff_u john
使用
useradd
命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是staff_u
)。查看 SELinux 和 Linux 用户之间的映射:
# semanage login -l
为用户定义一个指定的范围:
# semanage login --modify --range s2:c100 john
调整用户家目录上的标签(如果需要的话):
# chcon -R -l s2:c100 /home/john
列出当前类别:
# chcat -L
修改类别或者创建你自己的分类,修改如下文件:
/etc/selinux/_<selinuxtype>_/setrans.conf
以某个特定的文件、角色和用户安全上下文来运行一个命令或者脚本:
# runcon -t initrc_t -r system_r -u user_u yourcommandhere
-t
是文件安全上下文-r
是角色安全上下文-u
是用户安全上下文
在容器中禁用 SELinux:
- 使用 Podman:
# podman run --security-opt label=disable ...
- 使用 Docker:
# docker run --security-opt label=disable ...
- 使用 Podman:
如果需要给容器提供完全访问系统的权限:
- 使用 Podman:
# podman run --privileged ...
- 使用 Docker:
# docker run --privileged ...
- 使用 Podman:
就这些了,你已经知道了答案。因此请相信我:不用恐慌,去打开 SELinux 吧。
作者简介
Alex Callejas 是位于墨西哥城的红帽公司拉丁美洲区的一名技术客服经理。作为一名系统管理员,他已有超过 10 年的经验。在基础设施强化方面具有很强的专业知识。对开源抱有热情,通过在不同的公共事件和大学中分享他的知识来支持社区。天生的极客,当然他一般选择使用 Fedora Linux 发行版。[这里][11]有更多关于他的信息。
via: https://opensource.com/article/18/7/sysadmin-guide-selinux
作者:Alex Callejas 选题:lujun9972 译者:qhwdw, FSSlc 校对:wxy
系统管理员的 SELinux 指南:这个大问题的 42 个答案的更多相关文章
- selinux介绍及关闭selinux指南
selinux简介 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的 实现,是 Linux历史上最杰出的新安全子系统.NSA是在Linux ...
- SELinux介绍
SELinux概念 安全加强的Linux,早期的Linux系统安全由系统管理员控制.SELinux就是一些安全规则的集合,类似于人类生活中的法律. DAC: 自由访问控制(以前的linux版本) ...
- 第42章 电源管理—实现低功耗—零死角玩转STM32-F429系列
第42章 电源管理—实现低功耗 全套200集视频教程和1000页PDF教程请到秉火论坛下载:www.firebbs.cn 野火视频教程优酷观看网址:http://i.youku.com/fir ...
- CoolShell Puzzle攻略[更新隐藏剧情]
CoolShell博主陈皓做了一个在线的puzzle很有意思,链接在这里,这里记录一下解题的一些步骤. Puzzle 0 ++++++++[>+>++>+++>++++> ...
- linux安全体系
一. 硬件.软件选型 确认需求,分析可能面临的安全问题 记录各硬件寿命.保证散热.确保性能冗余 使用商业正版.开源的软件,不从互联网安装系统,从源头保证系统安全 购买专业售后支持 服务器配置双电源 ...
- MYSQL基础语法的使用
喜欢的朋友可以关注下,粉丝也缺. MYSQL介绍 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,目前属于 Oracle 旗下产品.MySQL 是最流行的关系型数据库管理系统之 ...
- Scala学习(一)--Scala基础学习
Scala基础学习 摘要: 在篇主要内容:如何把Scala当做工业级的便携计算器使用,如何用Scala处理数字以及其他算术操作.在这个过程中,我们将介绍一系列重要的Scala概念和惯用法.同时你还将学 ...
- java程序员认证考试题库
第一部分 基础知识练习 目标 本章对应于<学生指南>各章的内容分别提供了练习题集,包括: ● 第一章Java入门 ● 第二章数据类型和运算符 ● 第三章流程控制与数组 ● 第四章封 ...
- 架构师必须知道的26项PHP安全实践
PHP是一种开源服务器端脚本语言,应用很广泛.Apache web服务器提供了这种便利:通过HTTP或HTTPS协议,访问文件和内容.配置不当的服务器端脚本语言会带来各种各样的问题.所以,使用php时 ...
随机推荐
- 洛谷 P3924 康娜的线段树
P3924 康娜的线段树 题目描述 小林是个程序媛,不可避免地康娜对这种人类的“魔法”产生了浓厚的兴趣,于是小林开始教她OI. 今天康娜学习了一种叫做线段树的神奇魔法,这种魔法可以维护一段区间的信息, ...
- C++模板遇到iterator时候遇到的问题和解决方法
今天开发的时候,发现用模板的时候,再加上iterator,会报错,如下: std::map<T, S>::iterator find_iter = mp.find(key); 编译会报错: ...
- windows 下面的grep awk 命令
windows 下面的grep awk 命令 grep 学习了:http://blog.csdn.net/chengfans/article/details/53784936 awk学习了:http: ...
- windows环境利用apache 配置虚拟主机
windows环境利用apache 配置虚拟主机 1.改动http.host #LoadModule vhost_alias_module modules/mod_vhost_alias.so #In ...
- Android蓝牙技术Bluetooth使用流程(具体解释)
一:蓝牙设备之间的通信主要包含了四个步骤 设置蓝牙设备 寻找局域网内可能或者匹配的设备 连接设备 设备之间的传输数据 二:详细编程实现 1. 启动蓝牙功能 首先通过调用静态方法getDefaultAd ...
- UVA 11825 - Hackers' Crackdown 状态压缩 dp 枚举子集
UVA 11825 - Hackers' Crackdown 状态压缩 dp 枚举子集 ACM 题目地址:option=com_onlinejudge&Itemid=8&page=sh ...
- iOS 9 适配,我咋还没遇到这么多坑呢呀
iOS 9 适配,我咋还没遇到这么多坑呢呀 太阳火神的漂亮人生 (http://blog.csdn.net/opengl_es) 本文遵循"署名-非商业用途-保持一致"创作公用协议 ...
- Linux多线程实践(六)使用Posix条件变量解决生产者消费者问题
前面的一片文章我们已经讲过使用信号量解决生产者消费者问题.那么什么情况下我们须要引入条件变量呢? 这里借用 http://www.cnblogs.com/ngnetboy/p/3521547.htm ...
- 智课雅思词汇---十、pend是什么意思
智课雅思词汇---十.pend是什么意思 一.总结 一句话总结:[词根含义]:悬挂,垂;称量;支付 词根:-pend-, -pens- [词根含义]:悬挂,垂;称量;支付 [词根来源]:来源于拉丁语动 ...
- redhat赋予普通用户root权限
方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉 ## Allows people in group wheel to run all commands%wheel ...