1.selinux的介绍
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。 [1]
大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。
SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统, 它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享 有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX 权限更好的访问控制。
2.selinux的状态说明
selinux有三个状态:enforcing,disabled和permissive
我们用过ftp来引入selinux的使用。
首先,我们在服务器端安装vsftpd服务,客户端安装lftp。
在selinux打开,关闭和警告状态下。通过客户端的lftp连接服务器显示,目录的安全内容
步骤一:selinux关闭
方法一:
编辑selinux的配置文件:vim /etc/selinux/config
修改SELINUX=disabled
修改完后重启。
方法二:临时设定使用命令setenforce <1|0> ##0为警告,1为强制,且不能在关闭状态下设定,重启完后,不保存
只能打开不能关闭。
步骤二:实验并查看结果
在selinux的状态为disable下:
1.在服务端,新建一个文件,发送到 /var/ftp
2.在客户端,lftp连接服务端,显示带有安全内容的目录
ls -Z
3.在服务端,查看/var/ftp的安全内容目录
存在问号
步骤三:开启服务器端的selinux
编辑selinux的配置文件:vim /etc/selinux/config
修改SELINUX=enforcing
reboot
步骤四:实验并查看结果
在selinux的状态为enforcing下:
1.在服务端,新建一个文件,发送到 /var/ftp
2.在客户端,lftp连接服务端,显示带有安全内容的目录
3.在服务端,查看/var/ftp的安全内容目录
实验结果表明,在关闭selinux下,无法查看安全内容,安全内容为?号。在客户端,可以看见任何内容。在开启selinux下,只有安全内容为public_content的文件可以看到。
步骤五:将selinux的状态改为peimissive
步骤六:实验并产看结果
在selinux的状态为permissive下:
1.在服务端,新建一个文件,发送到 /var/ftp
2.在客户端,lftp连接服务端,显示带有安全内容的目录
3.在服务端,查看/var/ftp的安全内容目录
实验结果:虽然,安全内容不是public_content,但是还是能在ftp内显示,只是警告,警告的内容可以在日志查看。
查看警告的日志:cat /var/log/audit/audit.log
3.修改安全上下文
1)修改文件的安全上下文
chcon -t public_centent_t /var/ftp/file3
2)修改目录的安全上下文
chcon -t mnt_t /var/ftp/pub/ -R
3)永久修改安全上下文
chcon命令修改的安全上下文为临时安全上下文,重启以后会还原.
永久修改安全上下文的命令
semanage fcontext -a -t public_content_t '/westos(/.*)?' ##修改安全上下文及目录中文件的安全上下文
restorecon -RvvF /westos/ ##修改安全上下文,还可以查看以前的安全上下文
步骤一:建立目录和文件查看安全上下文
步骤二:修改安全上下文
4.seboll值
sebool,selinux对权限的布尔值,显示那些功能打开,那些功能不打开
1)查看ftp的sebool值
getsebllo -a |grep ftp
2)修改ftp的布尔值
步骤一:selinux关闭状态下,可以上传
步骤二:selinux开启状态下,不可以上传
步骤三:修改权限:setsebool -P ftp_home_dir on
5.selinux的排错
提供日志的插件
setroubleshoot-server.x86_64