当前位置: > Linux安全 >

SELinux环境下网络服务设置

时间:2014-08-28 21:40来源:51cto.com 作者:我本不是菜鸟

基于最近RHCE中考察到SELINUX,本文简单介绍SELinux的一些设置,深入的暂不考虑,不对的地方欢迎指出!

SELinux介绍:

SELinux是美国国家安全局为linux设计的一项开放源代码的项目,主要是希望将其做为系统的最后一道防线,来抵御黑客的进攻和入侵系统。

Selinux 的安全防护措施主要集中在各种网络服务的访问控制,

Selinux是一个在内核中执行,提供MAC能力的子系统,以提供传统DAC架构的不足,SELinux子系统以“类型强制性”读取控制机制为主,并融合RBAC、MLS和MCS3种MAC读取控制机制的特性。

1、DAC

Discretionary Access Control(任意读取控制),在DAC的架构下,每个对象都会记录一个拥有者的信息,只要是该对象的拥有者,就可以获得该对象的完全控制权限。其他需要读取该对象时候必须授予适当权限,每个对象仅有一组拥有者信息。

2、MAC

Mandatory Access Control(强制性读取控制),在MAC的架构下,会为每一个对象添置一个安全上下文(security context),进程和用户除了具备传统的权限之外,还必须获得selinux的授权,才能读取对象。

3、“类型强制性”读取控制机制

在SElinux里定义了许多的类型,每一个进程、文件、设备、网络链线等都必须表示其所属类型,进程仅能读取相同类型的文件,如果非相关的类型,切SELinux不允许读取时,则无法读取。

SELinux配置文件:

配置文件:/etc/selinux/config,它还有个链接文件:/etc/sysconfig/selinux 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@justin ~]# cat /etc/selinux/config 
 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.  ;强制限制状态,警告且阻止
#     permissive - SELinux prints warnings instead of enforcing.  ;警告,不阻止
#     disabled - No SELinux policy is loaded.  ;禁止状态
SELINUX=enforcing
#SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected, ;控制关键网络服务
#     mls - Multi Level Security protection.   ;控制所有服务
SELINUXTYPE=targeted    ;切换类型需reboot
 
 
[root@justin ~]#

SELinux状态设置:

临时设置SELinux---重启失效

1、查看SELinux状态---sestatus/getenforce

1
2
3
4
5
6
7
8
9
10
[root@justin ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted
[root@justin ~]# getenforce 
Enforcing
[root@justin ~]#

2、设置SELinux状态---setenforce

1
2
3
4
5
6
7
8
9
[root@justin ~]# setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]
[root@justin ~]# setenforce 0
[root@justin ~]# getenforce 
Permissive
[root@justin ~]# setenforce enforcing
[root@justin ~]# getenforce 
Enforcing
[root@justin ~]#

3、查看SELinux加载模块--semodule

1
[root@justin ~]# semodule -l

4、图像化管理SELinux

1
[root@justin ~]# system-config-selinux

5、查看SELinux策略policy

命令seinfo从规则policy.conf或二进制规则policy.21中提取策略的规则数量统计信息

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
[root@justin yum.repos.d]# seinfo
-bash: seinfo: command not found
[root@justin yum.repos.d]# yum -y install setools*
[root@justin yum.repos.d]# seinfo 
 
Statistics for policy file/etc/selinux/targeted/policy/policy.24
Policy Version & Type: v.24 (binary, mls)
 
   Classes:            81    Permissions:       235
   Sensitivities:       1    Categories:       1024
   Types:            3488    Attributes:        273
   Users:               9    Roles:              12
   Booleans:          187    Cond. Expr.:       222
   Allow:          273919    Neverallow:          0
   Auditallow:         96    Dontaudit:      199904
   Type_trans:      23469    Type_change:        38
   Type_member:        48    Role allow:         20
   Role_trans:        291    Range_trans:      3993
   Constraints:        87    Validatetrans:       0
   Initial SIDs:       27    Fs_use:             22
   Genfscon:           81    Portcon:           426
   Netifcon:            0    Nodecon:             0
   Permissives:        59    Polcap:              2
 
[root@justin yum.repos.d]#

永久性SELinux设置

上面设置的selinux的状态reboot后失效,要reboot生效需要修改配置文件,如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@justin ~]# vim /etc/sysconfig/selinux 
 
 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing    ;disabled与enforcing、permissive切换需要reboot
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

开启SELinux后需要通过两部来完成设置,一个是安全上下文,另个是策略值(也叫bool值),策略值是对安全上下文的补充

设置安全上下文

ls -Z、ps -Z、id -Z分别可以查看文件、进程、用户的上下文属性;默认下,mv操作保持安全上下文不变,创建和拷贝的文件继承父目录的安全上下文。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@justin ~]# ls -lZ|tail -3
-rwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 script.sh
drwxr-xr-x. root root system_u:object_r:admin_home_t:s0 Templates
drwxr-xr-x. root root system_u:object_r:admin_home_t:s0 Videos
[root@justin ~]# ls --scontext|tail -3      ;--scontext只显示安全上下文
unconfined_u:object_r:admin_home_t:s0 script.sh
system_u:object_r:admin_home_t:s0 Templates
system_u:object_r:admin_home_t:s0 Videos
[root@justin ~]
[root@justin ~]# ps -Z|tail -3
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2075 pts/0 00:00:01 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2816 pts/0 00:00:01 ps
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2817 pts/0 00:00:00 tail
[root@justin ~]# id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[root@justin ~]#

unconfined未定义的类型,表示不受selinux控制,它的权限模型仍是DAC

由5部分组成:属主域(user):角色域(object role):类型域(user type):敏感度:类别

通常显示3部分:user_u:object_u:user_home_t

临时修改安全上下文

chcon---change context,临时修改是的type值

 

命令格式:

   Chcon [OPTIONS…] CONTEXT FILES…..     CONTEXT 为要设置的安全上下文    FILES 对象(文件)

   Chcon [OPTIONS…] –reference=PEF_FILES FILES…     -reference 参照的对象;PEF_FILES 参照文件上下文(源文件);FILES 应用参照文件上下文为我的上下文(目标文件)。

 

 OPTIONS 如下:

        -f          强迫执行

        -R         递归地修改对象的安全上下文

        -r ROLE    修改安全上下文角色的配置

        -t TYPE    修改安全上下文类型的配置

        -u USER   修改安全上下文用户的配置

        -v         显示冗长的信息

        -l, --range=RANGE    修改安全上下文中的安全级别

1
2
3
4
5
6
7
8
9
10
11
12
13
14
root@justin home]# ll -Zd harry/
drwx------. harry harry unconfined_u:object_r:user_home_dir_t:s0 harry/
[root@justin home]# ll -Zd /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
[root@justin home]# chcon --reference=/var/www/html/ harry/
[root@justin home]# ll -Zd harry/
drwx------. harry harry system_u:object_r:httpd_sys_content_t:s0 harry/
[root@justin home]# restorecon harry/
[root@justin home]# ll -Zd harry/
drwx------. harry harry system_u:object_r:user_home_dir_t:s0 harry/
[root@justin home]# chcon -t httpd_sys_content_t harry/
[root@justin home]# ll -Zd harry/
drwx------. harry harry system_u:object_r:httpd_sys_content_t:s0 harry/
[root@justin home]#

restorecon---恢复 SELinux 文件属性文件属性即恢复文件的安全上下文

用法:
      restorecon [-iFnrRv] [-e excludedir ] [-o filename ] [-f filename | pathname...]
参数:
-i:忽略不存在的文件。
-f:infilename 文件 infilename 中记录要处理的文件。
-e:directory 排除目录。
-R -r:递归处理目录。
-n:不改变文件标签。
-o outfilename:保存文件列表到 outfilename,在文件不正确情况下。
-v:将过程显示到屏幕上。
-F:强制恢复文件安全语境

semanage---SELinux Policy Management tool

File contexts

       Add file-context for everything under /web

       # semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"

       # restorecon -R -v /web

-a:添加

-d:删除

-m:修改

-l:列举

-n:不打印说明头

-D:全部删除

 

-f:文件

-t:类型

-s:用户


SELinux 环境下的 Apache 配置

当启用 SELinux时,Apache HTTP 服务器(httpd)默认情况下在受限的 httpd_t 域中运行,并和其他受限制的网络服务分开。即使一个网络服务被攻击者破坏,攻击者的资源和可能造成的损害是有限的。下面的示例演示的是 SELinux 下的 httpd 进程。

1
2
3
4
[root@Zabbix_server html]# ps auxZ|grep httpd
system_u:system_r:httpd_t:s0    root      1807  0.0  0.8  34584  8868 ?        Ss   Aug21   0:05 /usr/sbin/httpd
system_u:system_r:httpd_t:s0    apache    1876  0.0  0.4  34584  5012 ?        S    Aug21   0:00 /usr/sbin/httpd
......

和 SELinux 上下文相关的 httpd 进程是 system_u:system_r:httpd_t:s0。 httpd 进程都运行在 httpd_t 域中。文件类型必须正确设置才能让 httpd 访问 。例如 httpd 可以读取文件类型是 httpd_sys_content_t,但不能写和修改。此外 httpd 不能访问 samba_share_t 类型的文件(Samba 访问控制的文件),也不能访问用户主目录中被标记为与 user_home_t 文件类型,主要是防止 httpd 读写用户主目录中的文件并且继承其访问权限。httpd 可以读写的文件类型是 httpd_sys_content_rw_t。Apache 默认的文档根目录类型是 httpd_sys_content_t。除非另外设置 httpd 只能访问 / var/www/html/ 目录中的 httpd_sys_content_t 类型的文件和子目录。对于网络服务而言,SElinux 仅仅开放了最低运行需求,为了发挥 Apache 服务器的功能还必须把布尔值必须打开,以允许某些行为。

Apache 的 SELinux 的布尔变量

eg.允许执行通用网关接口(CGI)脚本

1、查询当前的布尔值,使用getsebool -a可以查询当前所有的布尔值

1
2
3
4
5
6
[root@Zabbix_server html]# getsebool -a|grep -i cgi
git_cgi_enable_homedirs --> off
git_cgi_use_cifs --> off
git_cgi_use_nfs --> off
httpd_enable_cgi --> off
[root@Zabbix_server html]#

2、开启httpd 可执行 CGI 脚本

1
2
3
4
[root@Zabbix_server html]# setsebool -P httpd_enable_cgi on
[root@Zabbix_server html]# getsebool -a|grep httpd_enable_cgi
httpd_enable_cgi --> on
[root@Zabbix_server html]#

参数-P 使设置永久生效,不加重启失效

Apache 的 SELinux 的上下文

eg.变更主目录为/newhtml

1
2
3
4
5
6
[root@Zabbix_server ~]# mkdir /newhtml
[root@Zabbix_server ~]# ll -dZ /newhtml/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /newhtml/
[root@Zabbix_server ~]# ll -Zd /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
[root@Zabbix_server ~]#

按照 SELinux 策略规定和继承原则,/newhtml 目录和其中的文件会具有 default_t 类型,,包括以后创建的文件或者子目录也会继承和拥有这种类型,这样受限的 httpd 进程是不能访问的,可以使用 semanage fcontext/chcon 和 restorecon 命令修改 /newhtml 的文件类型属性,确保之后建立的文件和复制的文件具有相同 httpd_sys_content_t 的类型,从而使受限的 httpd 进程能够访问。

1
2
3
4
5
6
7
8
9
10
11
[root@Zabbix_server ~]# semanage fcontext -a -t httpd_sys_content_t "/newhtml(/.*)?"
[root@Zabbix_server ~]# rest
restart      restorecon   restorecond  
[root@Zabbix_server ~]# restorecon -R -v /newhtml/
restorecon reset /newhtml context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
[root@Zabbix_server ~]# ll -Zd /newhtml/
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 /newhtml/
[root@Zabbix_server ~]# vim /etc/httpd/conf/httpd.conf 
 292 #DocumentRoot "/var/www/html"
 293 DocumentRoot "/newhtml"
 [root@Zabbix_server ~]# service httpd restart

eg.共享nfs和cifs文件系统

默认情况下,在客户端的 NFS 挂载 NFS 文件系统默认的上下文标记使用 nfs_t 类型,Samba 共享客户端上默认的上下文使用 cifs_t 类型。根据 SELinux 策略配置,Apache 服务可能无法读取 nfs_t 或 cifs_t 类型。通过设置布尔值开启或关闭来控制哪个服务被允许访问 nfs_t 和 cifs_t 类型。

1
2
3
4
5
6
7
8
9
10
11
[root@Zabbix_server var]# getsebool -a|grep -i httpd|egrep -i "nfs|cifs"
httpd_use_cifs --> off
httpd_use_nfs --> off
[root@Zabbix_server var]# setse
setsebool  setserial  
[root@Zabbix_server var]# setsebool -P httpd_use_cifs on
[root@Zabbix_server var]# setsebool -P httpd_use_nfs on
[root@Zabbix_server var]# getsebool -a|grep -i httpd|egrep -i "nfs|cifs"
httpd_use_cifs --> on
httpd_use_nfs --> on
[root@Zabbix_server var]#

eg.更改端口

根据策略配置,服务可能只被允许运行在特定的端口号 。试图改变服务运行的端口,在不改变政策,可能导致启动失败的服务。首先查看一下 SELinux 允许 HTTP 侦听 TCP 端口,使用命令:

1
2
3
[root@Zabbix_server home]# semanage port -l|grep -w http_port_t
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
[root@Zabbix_server home]#

可以看到默认情况下,SELinux 允许 HTTP 侦听 TCP 端口 80,81,443,488,8008,8009 9000或 8443。假设要把端口号 80 修改为 12345 ,下面看看修改端口号的方法:

1
2
3
4
5
6
7
8
[root@Zabbix_server home]# vi /etc/httpd/conf/httpd.conf 
    135 #Listen 12.34.56.78:80
    136 #Listen 80
    137 Listen 12345
[root@Zabbix_server home]# semanage port -a -t http_port_t -p tcp 12345
[root@Zabbix_server home]# semanage port -l|grep -w http_port_t
http_port_t                    tcp      12345, 80, 81, 443, 488, 8008, 8009, 8443, 9000
[root@Zabbix_server home]#

 

本文出自 “我本不是菜鸟” 博客,请务必保留此出处http://pvbutler.blog.51cto.com/7662323/1545671

(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容