linux7 selinux策略,centos7 selinux

最新推荐文章于 2025-06-05 23:56:26 发布
最新推荐文章于 2025-06-05 23:56:26 发布
阅读量568 收藏 1
点赞数
文章标签: linux7 selinux策略

selinux

SELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全。

DAC 自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x权限进行限制。Root有最高权限无法限制。r,w,x权限划分太粗糙。无法针对不同的进程实现限制。

SELinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有一个安全标签(即selinux上下文)进行区分,只有对应的标签才能允许访问。否则即使权限是777,也是不能访问的。

在SELinux中,访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户(u)、角色(r)和类型(t)标识符。但我们最关注的是第三个部分

当程序访问资源时,主体程序必须要通过selinux策略内的规则放行后,就可以与目标资源进行安全上下文的比对,若比对失败则无法存取目标,若比对成功则可以开始存取目标,最终能否存取目标还要与文件系统的rwx权限的设定有关。所以启用了selinux后出现权限不符的情况时,你就得一步一步的分析可能的问题了。

以上简单了解即可,下面的是要重点掌握的

1、Selinux状态查看与配置:

Selinux的配置文件位置:/etc/selinux/config,它还有个链接在/etc/sysconfig/selinux

使用config文件来配置selinux(通过配置文件修改selinux的状态属于永久修改,要重启系统才生效)

4a3b0f722442b9eca50374caa10d33f5.png

文件内容如下图:

70d75c6ceb929397dc72acd3dcf70802.png

SELINUX=enforcing

#此项定义selinux状态。

#enforcing—是强制模式系统受selinux保护。就是你违反了策略,你就无法继续操作下去

#permissive—是提示模式系统不会受到selinux保护,只是收到警告信息。permissive就是Selinux有效,但是即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来(警告信息)

#disabled—禁用selinux。

SELINUXTYPE=targeted

#此项定义selinux使用哪个策略模块保护系统。targeted只对apache ,sendmail, bind,postgresql,nfs,cifs等网络服务保护。

以上策略配置都放置在/etc/selinux目录中,目录和策略名称相同

使用selinux相关命令查看和修改状态:(属于立即生效但临时性的)

a、sestatus 查询selinux工作状态

4942d3d25600936b7c817ea24a4934d3.png

b、selinuxenabled检查selinux是否开启,配合echo $?.传回值是0为开启,1为关闭.

b863893d70f99d12368d9e3402f49db0.png

c、getenforce查看selinux的状态

158692fc43826b5cf65d8c745b71fe84.png

d、setenforce设定selinux运行状态,1开启(Enforcing),0关闭(Permissive)

f494f09949f522b438cb63c9808e181d.png

2、查看安全上下文相关命令

查看文件上下文可以通过ls -Z

ca46fc612e2964491f9882de5236b959.png

查看进程上下文可以使用 ps Z

bd7a39ad869b3b1489f490d0c6763edf.png

查看用户上下文可以用id –Z

21960c06b4a70067343cbd2fc12d45f2.png

安全上下文以用户:角色:类型(域)标识符的形式出现.(这里的用户指的是selinu用户)

3、以下是复制和移动文件时安全上下文的变化:

以httpd为例,这个httpd的进程可以访问/var/www/html下的文档对象

在/root目录下创建两个测试页文件(如test1.html、test2.html)

0e9c60f43d75651079be3605be367fd9.png

复制test1.html文件到/var/www/html目录下,剪切test2.html文件到/var/www/html目录下

d2e28f4bc1bfee5a631e60bc375e0695.png

查看html目录下文件的安全上下文

6e66906c9592b1e20f538e0dd17a3a39.png

通过上图可以看到剪切操作时文件的上下文没有发生改变,仍然是原上下文,而复制操作时文件的上下文继承了目标目录的上下文。

通过浏览器访问这两个网页文件

de133b029cbda0c2031698a2dd3db6e5.png

3bcb736d67947b21810985af8cc0cf09.png

可以看到test1.html页面能访问而test2.html却被拒绝访问

查看权限发现apache用户对这两个文件都具有r权限,但test2.html文件却拒绝访问。

cefc2ef6b03b0cd34ed60cb15a14ff62.png

原因就是因为httpd进程不能访问域类型标签是admin_home_t的资源,被selinux将访问拒绝了。

查看日志/var/log/audit/audit.log

1390dca5df172ecadc5cd3b6f0012e28.png

通过日志记录也能看到test2.html文件拒绝httpd进程访问。

feeb1fe550c6192587a6ffd789e9ad69.png

由于此文件记录的信息很多不宜直接查看,可以借助audit2why和audit2allow

#audit2why

f69a13425ec83584deae77d24127da0e.png

注:提供audit2why和audit2allow工具软件包

96ad551a03d76815566b42d8cbc442c5.png

收集Selinux产生的日志,另一个工具是setroubleshoot,对应的软件包为

cdc71000b87da7c6183c0c516c4d56b1.png

Setroubleshoot将错误信息写入/var/log/messages中

#tail /var/log/messages | grep setroubleshoot

bcc426b57070020e0a8b9ea413feb438.png

上面的错误信息大概说的是”selinux阻止httpd访问这个文件,要查看完整的信息,请执行sealert命令”

5385f618a5d6ba9c4912b7badb450400.png

可以用sesearch [--allow] [-s 主体类别] [-t 目标类别] [-b]查询详细规则

sesearch命令由下列软件包提供

c09195227d151cd022e804b4579d4f52.png

找出目标资源类别为httpd_sys_content_t的相关信息

baf59c0f8242176b7d2631d46ec1ef08.png

e2bab7804a105d2ca82e0d2e2f4ef38b.png

从上图显示信息表示[allow 主体程序安全上下文类别 目标资源安全上下文类别],说明这个资源类别可以被哪个主体程序类别所读取。

找出主体程序为httpd_t相关的所有信息

467640199e1f3c01b6008b0c80ddd0d8.png

c27e95cf007efb19c568d3758014c54c.png

从上面的数据就可以看出程序httpd_t为个类别可以访问的哪些资源类别。

如何解决上述问题呢?解决方法就是更改test2.html文件的上下文。有两种方式,一种是通过restorerecon( restore context) 修复继承当前目录默认的上下文;一种是通过chcon (change context) 修改当前的上下文。

a.使用restorerecon( restore context) 修复继承当前目录默认的上下文

分两步实现:

首先为 /var/www/html 这个目录下的所有文件添加默认标签类型:

semanage fcontext -a -t httpd_sys_content_t '/var/www/html(/.*)?'

因为html目录的默认标签类型就是httpd_sys_content_t,所以此步可以省略

然后用新的标签类型标注已有文件:

restorecon -Rv /var/www/html/, 之后 httpd就可以访问该目录下的文件了。

3c9fd53b9708b8c985302a64a04d16b4.png

semanage和restorecon命令是由下列软件包提供的

2ede54420d42b95f9d9e467ff466e0b6.png

b.使用chcon (change context) 修改当前的上下文

43aba55823e063001e1060eed20ba678.png

注:

chcon 意思是change context

-t type 类型

-R recursive 递归(特别适用于改变某个目录下所有文件的context)

-u user

-r role

311a6c13073de8c049f97cbcf5febd3b.png

--reference表示用test1.html文件的上下文修改test2.html文件的上下文。

最后再看一个概念,SELinux的布尔值。这个布尔值类似一个开关,打开的话,他对应的一些服务就允许执行,否则的话就拒绝执行。

看看有哪些布尔值

0d4f7851b7b327e971f9a8523c9ada83.png

也可用semanage命令#semanage boolean –l

知道了布尔值的名字,可以通过sesearch 来确认他关联了哪些服务的域,比如httpd_enable_homedir允许下列规则,如果设置为off的话,那么他们都是无法访问的。

1bf958f71f7207b5e4882eb9a2fdeb31.png

设置boolean值,-P为设置永久生效.

#setsebool [-P] 布尔值 on/off

下面看一个与布尔值有关的例子

确认已经启用了 Selinux、启动 FTP:

833c4bae15d1818af642aef12b0a55cb.png

在匿名访问目录下创建 2 个文件进行测试,一个是在该目录下手动创建,这样

该文件会自动继承/var/ftp/pub 下的目录上下文的值,一个用 mv 命令从 root 目录下移

动过来,这样的文件会保留 root 目录下的安全上下文,如下

5c9524a138655e4652b4ffdde6809555.png

使用匿名登录测试:

3e04ade8cebf5e600c8e683f01ad37f4.png

发现这里看不到 root.txt 文件

已知系统启动了 Selinux,先查看系统日志,有两个工具可以收集到 Selinux 产生的

日志,一个是 setroubleshoot,一个是 audit,先使用 audit 工具,使用方法

如下:

系统中提供了 audit 相关的命令,常用的有 audit2why 和 audit2allow,audit 产生的日志

放在/var/log/audit, 由于此文件记录的信息很多不宜直接查看,可以借助 audit2why

命令,首先启动 audit

在客户端登录 FTP 服务器时会出发 audit deamon 产生日志:

339b208bc0087841f1db0051adfb74d2.png

af0213ebdf370163da46d92aaa0721e1.png

AVC 是 access vector cache 的缩写,目的是记录所有与 SELinux 有关的存取统计资料。

根据日志中的建议,使用 audit2allow 命令查看给出的建议如下:

1b118f5f64584907b5bb8d448fa40aed.png

d33fb97ce5046f139b2a34fa117ea028.png

验证布尔值中有关 FTP 的定义

2a5ba3ff5f413e5a5ca55fafc5761068.png

发现ftp_home_dir --> off,文件 root.txt 的类型刚好是 root:object_r:user_home_t:s0

所以更改此 bool 值就可以

044e832e17c149b400db8cf5165ca1e9.png

(-P 是把该修改写到文件,下次启动仍然有效)

客户端登录测试,发现 root.txt 文件就可以访问了

总结一下,如果搭配了某个服务器,然后客户端无法正常访问,应该按照下面的顺序进行排错:

1.该服务的配置文件中是否开启了相关的权限 ,比如是否允许匿名用户写入等等;

2.文件系统的权限,比如是否需要使用chmod修改权限

3.SELinux的上下文和布尔值

清隳
关注
Linux Centos-7 关闭selinux。(临时关闭和永久关闭)
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
06-09 4815
3.永久关闭,在终端输入vim /etc/selinux/config,回车,4.重启系统 reboot和(终端指令为 init 6)。(3)摁Esc键,再摁:键,输入wq(注意小写),回车。2.临时关闭,在终端输入setenforce 0。选到SELINUX=enforcing这一行,
CentOS 8 上如何正确禁用 SELinux
网络技术联盟站
05-18 200
在日常 Linux 系统管理中,有一个名字总是绕不开,那就是 SELinux(Security-Enhanced Linux)。它是 Linux 内核中一个强大的强制访问控制(MAC)机制,为系统增添了一层安全防护。然而,正如安全与便利之间的永恒矛盾,SELinux 的复杂性与对某些应用程序兼容性的挑战也常常让系统管理员头痛不已。那么,当你确实需要“关掉这堵墙”时,应该如何在系统中安全、彻底地禁用 SELinux
RHEL/CentOS 7中的SELinux概述
成长的足迹
06-21 1224
Security Enhanced Linux (SELinux)是一个访问控制服务,基于安全策略加强对系统资源的访问控制。在系统安全的基础上,解决“May <subject> do <action> to <object>”的访问控制问题。 SELinux是一个Linux内核的扩展模块,通过LSM(Linux Security Module)框架在链接时被加...
Centos7——selinux配置
标配的小号
06-11 1823
情景一: httpd修改网站文件目录的时候,无法在另一台机子上面访问该网站,原因就是因为selinux阻止了这个不安全的修改 假设我把网站目录修改到/home/www下面,首先在httpd配置文件里先修改/var/www/html为/home/www,有两个地方是需要修改这个的,修改完成后,执行下列命令 semanage fcontext -a -t httpd_sys_content_t /
SELinux是什么以及如何编写SELinux策略
最新发布
2401_84168288的博客
06-05 1486
问题解释SELinux能提高安全性吗?是的,它为Android添加了一道重要的系统级防线。为什么root后会修改SELinux状态?为了获得更高权限访问系统资源,绕开限制。可以手动切换状态吗?在root环境下可以通过命令如进行切换,但需谨慎。SELinux 策略(policy)是定义系统中哪些主体(subjects)可以访问哪些客体(objects)以及如何访问的规则集合。在 Android 或 Linux 中:主体一般是进程(如vold客体一般是文件、目录、socket、属性等资源。策略是以。
centos7 selinux
weixin_34088598的博客
09-03 564
selinux http://hongge.blog.51cto.com/ SELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全。 DAC 自主访问控制: 用户根...
CentOS7selinux介绍及案例详解
野生Java小菜鸟的博客
02-03 3541
setenforce是Linuxselinux防火墙配置命令 〇、简介: SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。 我们在命
yzyone#CentOS7#Linux关闭SELinux1
07-25
Linux关闭SELinux( Security Enhanced Linux)查看SELinux当前状态:一般会返回三种状态:1,Enforcing (记录警
linux centos7关闭防火墙命令,CentOS7关闭防火墙和SELinux
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
04-29 1万+
一、关闭防火墙 1、临时关闭(下次开机启动,自动启动防火墙)[root@localhost~]#systemctlstopfirewalld 2、查看防火墙状态[root@localhost~]#systemctlstatusfirewalld 3、永久关闭防火墙(开机启动时不在启动) [root@localhost~]#systemctldisablefirewalld 二、关闭SElinux 1、查看selinux状态[root@localhost~]#geten...
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
09-09
主要给大家介绍了关于CentOS 7系统下SELinux阻止MongoDB启动问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
CentOS7 关于 SELinux 的常用操作
m0_69057918的博客
12-04 1251
CentOS7 关于 SELinux 的常用操作
Linux-基础篇-(四)关闭centos7selinux服务
a928841135的博客
02-26 345
查看selinux处于什么状态使用getenforce命令selinux三种状态enforcing 强制执行permissive 宽松disabled 关闭。
CentOS7关闭SELinux
热门推荐
xinluke的专栏
07-16 9万+
查看[root@dev-server ~]# getenforce Disabled [root@dev-server ~]# /usr/sbin/sestatus -v SELinux status: disabled临时关闭##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 seten
centosselinux功能及常用服务配置
reblue520的专栏
03-08 683
SELinux: Secure Enhenced Linux 常用命令 获取selinux的当前状态: # getenforce 临时启用或禁用: # setenfoce 0|1 永久性启用,需要修改配置文件 /etc/sysconfig/selinux 设置:SELINUX=permissive  /etc/selinu...
CentOS7关闭 防火墙 、SELinux
业精于勤,荒于嬉
12-02 2367
CentOS7关闭 防火墙 、SELinux
CentOS7Selinux设置
weixin_34185364的博客
04-19 1415
Selinux vi /etc/sysconfig/selinux SELINUX=enforcing 改为 SELINUX=disabled 临时关闭selinux setenforce 0 临时开启selinux setenforce 1 查看 selinux getenforce nginx在开启Selinux时自定义目录 vi /etc/nginx/nginx.conf user root...
linux7selinux,rhel 7selinux
weixin_33001561的博客
05-17 170
在安装数据库的时候,默认都会关闭selinux,以下的命令需要我们记住,在排错的时候可能会用到。不能什么命令都去查看文档,要专业。1、版本[root@roidb01 ~]# uname -aLinux roidb01 3.10.0-123.el7.x86_64 #1 SMP Mon May 5 11:16:57 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux[roo...
linux7.0配置SELINUX
将勤补拙
12-02 392
配置SELINUX 要求:修改你的 selinux 状态,改为 enforcing vim /etc/selinux/config
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值