什么是SElinux?
其实 SELinux 是在进行进程、文件等细部权限设定依据的一个核心模块! 由于启动网络服务的也是进程,因此刚好也能够控制网络服务能否存取系统资源的一道关卡!
简而言之:selinux是强制访问控制安全系统,构建于kernel之上,拥有灵活而强制性访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保障,可防御未知攻击
编辑 /etc/sysconfig/selinux 文件,
selinux有三种工作状态,分别为 enforing(强制),permissive(警告),disabled(关闭);
enforing(强制),permissive(警告),这两者可以在线切换,无需重启;
disabled(关闭),关闭和强制警告直接切换需要重启计算机。
setenforce 0 # 设置为警告状态
setenforce 1 # 设置为强制状态
enforing setenforce 0|1 只能设置强制和警告状态,disabled需要在设置文件/etc/sysconfig/selinux中更改
SElinux安全上下文
SELinux contexts通常称为安全上下文,在selinux中,一切皆对象,由存放在扩展属性域的安全元素控制访问,所有文件、端口、进程都被标记上与安全有关的信息,这就是安全上下文,查看用户、进程和文件的命令都带上选项’Z’就能查看安全上下文
contexts 安全上下文
程序安全上下文和文件安全上下文匹配时访问允许
程序安全上下文和文件安全上下文不匹配时访问不允许
ls -Z /var/ftp # 查看文件安全上下文
id -Z # 查看用户安全上下文
ps -Z | grep dhcp # 查看进程安全上下文
安全上下文由5个部分组成:user:role:type:sensitivity:category,以冒号分隔:
user: 指定登录系统的用户类型,如system_u等,多数本地进程属于自由进程(unconfined),而系统配置文件、共享库文件等属于系统用户(system)
role: 指定文件、进程和用户的用途,如object_r、system_r等
type: 表示主题、客体的类型,规定了进程域能访问的文件类型,大多数策略都基于type实现
sensitivity: 扩展选项,由组织定义的分层安全级别,级别由0~15租出,s0级别最低
gategory 对特定组织划分不分次不登陆,一个a可以有多个geateway,从c0~c1023,共1024个分类
安全上下文临时修改
chcon 命令 临时更改,系统重启或重新标记都会恢复
chcon [-R] [-u user] [-r role] [-t type] 目录|文件
安全上下文永久修改
semanage fcontext 永久更改
semanage fcontext -l | grep /var/ftp 查看/var/ftp目录的上下文列表,确定要更改的名称
semanage fcontext -a -t public_content_t '/ftphome(/.*)?' /ftphome中所有内容加上
public上下文,-a添加,-t类型
restorecon -RvvF /ftphome/ 让/ftphome中原本存在的文件更改上下文,使其生效,重读
SElinux布尔值
布尔值是一个针对服务的访问策略,针对不同的网络服务,布尔值为其设置了开关,用于精确地对服务的某个选项进行保护,查看系统中布尔值设置可以使用命令getsebool实现:
setsebool -P 修改某个布尔值设置,on开,off关
SELinux日志排错
SELinux运行过程中发生错误时间,会被setroubleshoot工具捕获,并生成一条日志保存到/var/log/messages,日志中包含事件说明和解决方法,是日志排错常用的方法
首先安装settroubleshoot,才能使用其功能
在/var/log/audit/audit.log 存selinux的日志,不提供解决方案
在/var/log/messages会记录错误,并提供解决方案
实验:在sekinux=enforcing情况下,上传文件到lftp中,以及利用settroubleshoot实现其中出现问题的排错
日志排错
