SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖!

这里学习的是在规则targeted下的一些常用操作

1、查看本机的selinux的状态

[root@localhost ~]# sestatus (查看本机的selinux状态)
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted

这里的mode又分为三种:

(1)、enforcing(这个状态是开启selinux的限制,这个状态下selinux真正的起作用,当某些行为不符合selinux的规则时,直接给它down掉)

(2)、 permissive(这个状态也是开启selinux,这个状态是宽容模式,当某些行为不符合selinux的规则时,发出警告而不是限制)

(3)、disabled (这个状态就是关闭selinux)

2、修改本机的selinux的状态

[root@localhost ~]# getenforce (还可以通过这个指令来查看本机的selinux的状态)
Enforcing

改变selinux的状态可以通过修改两个文档,但是在状态切换的过程中,每次状态的改变必须重启系统,因为系统内核读取的是selinux的二进制的文件,通过系统的重启,把selinux的规则二进制重写,以便系统内核可以顺利读取。

[root@localhost ~]# vi /etc/selinux/config (其一在这里修改)
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted

或者在以下文档修改

[root@localhost ~]# vi /etc/sysconfig/selinux (规则修改,重启系统之后,这两个我文档的内容是一模一样的)

另外如果是在状态enforcing和permissive之间切换时,不仅无需重启系统,而且还可以通过简单的指令来完成

[root@localhost ~]# setenforce (后接下边状态对应的数值即可,1表示开启,0表示宽容)
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

3、与服务相关的targeted规则

[root@localhost ~]# seinfo (Booleans即是规则(这里成为布林值)的数目,257条)
Statistics for policy file: /etc/selinux/targeted/policy/policy.21
Policy Version & Type: v.21 (binary, MLS)
   Classes:            61    Permissions:       220
   Types:            1785    Attributes:        166
   Users:               3    Roles:               6
   Booleans:          257    Cond. Expr.:       240
   Sensitivities:       1    Categories:       1024
   Allow:          124656    Neverallow:          0
   Auditallow:         42    Dontaudit:        7071
   Role allow:          5    Role trans:          0
   Type_trans:       2093    Type_change:         0
   Type_member:         0    Range_trans:       433
   Constraints:        47    Validatetrans:       0
   Fs_use:             19    Genfscon:           74
   Portcon:           328    Netifcon:            0
   Nodecon:             8    Initial SIDs:       27

另外可以通过#seinfo -h查看一些seinfo的参数和用法

对seinfo查询出来的布林规则可以通过指令sesearch做进一步的深入探索

sesearch的常用参数(详尽参数可以求助man)

-a:流出所有的相关信息

-b:后接相关的布林值

-t:后接服务的类别

-h:查看帮助文档

4、布林值的搜索和修改

(1)、布林值的搜索(通过指令getsebool, 参数只有-a,可以结合管道命令过虑出自己需要的)

[root@localhost ~]# getsebool -a|grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off

2)、布林值的修改(通过指令setsebool ,参数只有-P,后接要修改的布林值)

[root@localhost ~]# setsebool -P ftp_home_dir=1(这两个指令的作用一模一样,都是打开ftp的用户的登录的家目录的selinux的规则,让登录用户可以使用自己的家目录(PAM的规则)) 

或者

[root@localhost ~]# setsebool -P ftp_home_dir on

5、目录预设的安全性文本的查询和修改

这里要用到的指令只有一个:semanage,只是结合不同的参数来完成查询以及修改的工作

参数

-a, --add 增加规则
-d, --delete 删除规则
-m, --modify 修改规则
 -l, --list查看规则,结合相关的选项(fcontext)

(1)、查询文件夹的布林规则

[root@localhost ~]# semanage fcontext -l|grep /var/www/(查看预设的apache相关的的selinux的规则)
/var/www/svn/conf(/.*)?                            all files          system_u:object_r:httpd_sys_content_t:s0 (我们的httpd的主要设置档在conf下)
[root@localhost ~]# cd /var/www
[root@localhost www]# ll -Z
drwxr-xr-x  root      root system_u:object_r:httpd_sys_content_t www(是不是发下type相同呢?都是httpd_sys_content_t)

主要限制的就是这些复杂的type啦,其中身份识别(root system_u)和角色(object_r)只起到辅助的作用

(2)、规则的修改(仍然有两种方式)

首先通过指令chcon

参数

-R 递归的修改
-u 后接相应的身份 
-t 后接相应的类别 
-r 后接相应的role

例如:

[root@localhost ~]# cd /home/
[root@localhost home]# ll -Z
drwxr-xrwx  root      root      user_u:object_r:user_home_dir_t  public
[root@localhost home]# chcon -t httpd_sys_content_t public/(修改的动作)
[root@localhost home]# ll -Z
drwxr-xrwx  root      root      user_u:object_r:httpd_sys_content_t public

另外可以通过指令restorecon来尝试恢复成预设值,但是不一定会成功

然后就是通过指令semanage

[root@localhost ~]# semanage fcontext -a -t public_content_t "/srv/samba(/.*)?"(这个指令不要乱操作哦,意思就是尽量不修改不常用的文件夹的预设值)

同样的也可以通过指令restorecon来尝试恢复成预设值,但是不一定会成功

489f0077fc87b7532b9f9c57ca626aaa.png

 

 

 

 

Logo

更多推荐