SELinux-阿里云开发者社区

开发者社区> 技术小胖子> 正文

SELinux

简介:
+关注继续查看
                   SELinux
1.SELinux
全称是Security-Enhanced Linux,安全增强的linux;
一套强化linux安全的mac扩展模块;
美国国家安全局主导开发;

SELinux 的运作机制
集成到Linux内核(2.6及以上)
为操作系统提供可定制的策略,管理工具

2.红帽的SELinux策略

SELINUXTYPE=targeted
--仅保护最常见的/关键的网络服务,其他不限制

SELINUXTYPE=mls
--提供多层次,全面的安全防护策略

我们vim /etc/selinux/config进去之后看到的SELINUXTYPE=targeted是比较常用的类型

3.SELINUX的运行模式
修改文件/etc/selinux/config(或者vim /etc/sysconfig/selinux,其实是同一个文件)
设置 SELINUX=disabled 以禁用 
设置 SELINUX=permissive 宽松模式 (0):SELinux prints warnings instead of enforcing(警告而不是强制)                    
设置 SELINUX=enforcing 强制模式 (1)

查看当前运行模式
# getenforce

临时修改运行模式
[root@rhel6-1 html]# setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

当我们有时候怀疑是selinux的限制,导致某服务不能被访问时,我们可以临时修改selinux的运行模式,设为0,再查看下服务能否被访问,如果想永久修改,就需要修改他的配置文件

4、配置SELINUX的两个主要方面

1、SELINUX上下文环境
(1)查看一个文件的上下文环境值
# ls  -Z    //通过ls -Z 来查看上下文
(2)修改selinux上下文环境值
把文件恢复到所在目录的默认值

# restorecon  -Rv  /var/www/html    //restrorecon表示恢复

或者设置某个文件的指定值
[root@rhel6-1 html]# chcon -t admin_home_t abc    //chcon表示修改

常用选项:
-t,指定访问类型;
-u,-r,分别用来指定用户,角色;
-R,递归修改;
--reference=RFILE,参考指定文件的上下文

2、SELINUX布尔值

使用getsebool查看
#getsebool -a         //-a 查看所有布尔值

使用setsebool设置
#setsebool -P allow_httpd_anon_write off     //-P,永久更改,重启后仍然有效

设者布尔值的时候可以设为1或者on开启,同理,也可以设者为0或者off关闭


5.SELinux实例:

例一:SELINUX上下文环境
# echo  ‘my test web site’ > ~/index.html
#  ls  -Z  ~/index.html
# mv ~/index.html  /var/www/html
通过web页面访问,无法访问到这个主页
# restorecon  -Rv  /var/www/html
# ls  -Z  /var/www/html/index.html
刷新web页面,可以访问到主页

例二:实现FTP匿名用户上传
(1)#  mkdir –m 757  /var/ftp/incoming
(2)修改vsftpd.conf打开匿名上传
(3)上传文件测试,如果已经安装setroubleshoot,屏幕右上角会弹出提示,根据提示修改
# chcon  -t  public_content_rw_t  /var/ftp/incoming
#  getsebool -a  |  grep ftp  ->获得与ftp相关的selinux布尔值
#  setsebool  -P  allow_ftpd_anon_write  1(4)再次尝试上传,成功

例三:本地用户ftp登陆

直接用本地用户tom访问ftp,将会提示“不能改变目录”
查看相关的selinux布尔值
#  getsebool -a  |  grep ftp  ->获得与ftp相关的selinux布尔值
[root@rhel6-1 ~]# setsebool -P ftp_home_dir on
再次用tom登陆测试,成功
bool值相当于开关
可以装setroubleshooting

例四、windows通过samba访问linux
(1)安装samba
(2)#  smbpasswd  -a  root
(3)启动服务
(4)在windows下用UNC路径访问,能够看到root的家目录,但是双击打不开
(5)#  getsebool –a | grep  samba
(6)#  sebsebool  -P  samba_export_all_rw 1
(7)再次在windows下用UNC路径访问,可以打开root的家目录

6、图形化管理SELinux,安装setroubleshoot
# yum install –y setroubleshoot*
重启
有任何的selinux违规行为,系统都会给出提示和解决方案。
如果是图形界面下,屏幕右上角会弹出消息。如果是字符终端下,可以查看日志/var/log/message。如:
[root@rhel6-1 log]# tail -2 /var/log/messages 
Dec  4 11:39:42 rhel6-1 setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html. For complete SELinux messages. run sealert -l 96114052-1747-4334-873e-3a48c35c514c
Dec  4 11:39:42 rhel6-1 setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html. For complete SELinux messages. run sealert -l 96114052-1747-4334-873e-3a48c35c514c
根据提示,在终端上运行命令:
# sealert -l 96114052-1747-4334-873e-3a48c35c514c  ->显示selinux解决方案

7、获得SELINUX设置的帮助
(1)# man ftpd_selinux
    # man httpd_selinux
    # man samba_selinux
(2)有些服务,配置文件中也有说明
    # vim /etc/samba/smb.conf



附:
  1.SELinux安全上下文,Security Context,为文件/目录/设备标记访问控制属性;
     属性构成  用户:角色:访问类型:选项...
     [root@localhost html]# ls -Z /etc/samba/smb.conf 
-rw-r--r--. root root system_u:object_r:samba_etc_t:s0 /etc/samba/smb.conf
比如,配置samba共享的时候,共享文件如果不更改上下文环境是不能共享出去的

  2.安全上下文的一般规律:
    移动的文件,原有的上下文属性不变;
    复制的文件,自动继承目标位置的上下文。








      本文转自Jx战壕  51CTO博客,原文链接:http://blog.51cto.com/xujpxm/1403235,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
无影云桌面让你无处不在
云桌面,让你不再为了没有电脑发愁。手把手教你玩通无影~~~
25 0
上云第一课第一期部署MySQL数据库
主要讲述数据的部署以及使用
10 0
冬季训练营-从0到1玩转云服务器学习报告记录
从0到1玩转云服务器学习报告记录,搭建云上博客全过程
21 0
第一期学习报告(Yasso_c)
第一期学习报告(Yasso_c)
20 0
教育培训机构使用阿里云无影桌面优缺点
配置灵活,GPU满足设计产品线,价格低廉,随开随用。
25 0
python中循环的技巧
循环的技巧 在字典中循环时,用 items() 方法可同时取出键和对应的值:
11 0
python中对切片的理解
字符串还支持 切片。索引可以提取单个字符,切片 则提取子字符串: >>>
10 0
高智商学生如何玩转无影云电脑
作为一名刚学习编程技术的学生来说,非常有幸体验阿里的无影云电脑,非常的荣幸,也感谢阿里云的支持与帮助,本人将写一遍无影云电脑评测的文章来记录一下这一令人感动的瞬间。
27 0
学习报告 冬季实战营第一期:从零到一上手玩转云服务器
冬季实战营第一期:从零到一上手玩转云服务器-本期学习报告
14 0
云起实验室学习报告之LAMP搭建
云起实验室学习报告之LAMP搭建
14 0
21119
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载