系统管理员的 SELinux 指南:这个大问题的 42 个答案
一个重要而普遍的事实是,事情并不总是你看上去的那样 ―Douglas Adams,《银河系漫游指南》
安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 监控、备份、实施、调优、更新等等 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 Ethan Hunt 的工作一样。
面对这种窘境,一些系统管理员决定去服用蓝色小药丸,因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道,它的答案就是这个 42。
按《银河系漫游指南》的精神,这里是关于在你的系统上管理和使用 SELinux 这个大问题的 42 个答案。
SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。 两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。 正确的标签格式是 user:role:type:level(可选)。 多级别安全Multi-Level Security(MLS)强制的目的是基于它们所使用数据的安全级别,对进程(域)强制实施控制。比如,一个秘密级别的进程是不能读取极机密级别的数据。 多类别安全Multi-Category Security(MCS)强制相互保护相似的进程(如虚拟机、OpenShift gears、SELinux 沙盒、容器等等)。 在启动时改变 SELinux 模式的内核参数有: autorelabel=1 强制给系统重新标签化 selinux=0 内核不加载 SELinux 基础设施的任何部分 enforcing=0 以许可permissive模式启动如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用许可模式引导系统。
内容目录:/var/www/html httpd_sys_content_t 启动脚本:/usr/lib/systemd/system/httpd.service httpd_unit_file_d 进程:/usr/sbin/httpd -DFOREGROUND httpd_t 端口:80/tcp, 443/tcp httpd_t, http_port_t
在 httpd_t 安全上下文中运行的一个进程可以与具有 httpd_something_t 标签的对象交互。
当文件被创建时,它们的安全上下文会根据它们父目录的安全上下文来创建(可能有某些例外)。RPM 可以在安装过程中设定安全上下文。
标签化问题:如果在 /srv/myweb 中你的文件没有被正确的标签化,访问可能会被拒绝。这里有一些修复这类问题的方法:
如果你知道标签:# semanage fcontext -a -t httpd_sys_content_t /srv/myweb(/.*)? 如果你知道和它有相同标签的文件:# semanage fcontext -a -e /srv/myweb /var/www 恢复安全上下文(对于以上两种情况):# restorecon -vR /srv/myweb标签化问题:如果你是移动了一个文件,而不是去复制它,那么这个文件将保持原始的环境。修复这类问题:
使用标签来改变安全上下文:# chcon -t httpd_system_content_t /var/www/html/index.html 使用参考文件的标签来改变安全上下文:# chcon --reference /var/www/html/ /var/www/html/index.html 恢复安全上下文(对于以上两种情况):# restorecon -vR /var/www/html/如果 SELinux 需要知道 HTTPD 在 8585 端口上监听,使用下列命令告诉 SELinux:# semanage port -a -t http_port_t -p tcp 8585
SELinux 需要知道是否允许在运行时改变 SELinux 策略部分,而无需重写 SELinux 策略。例如,如果希望 httpd 去发送邮件,输入:# setsebool -P httpd_can_sendmail 1
查看每个布尔值的描述:# semanage boolean -l 设置某个布尔值:# setsebool [_boolean_] [1|0] 将它配置为永久值,添加 -P 标志。例如:# setsebool httpd_enable_ftp_server 1 -P
用于开发策略模块的 SELinux 工具:# yum -y install setroubleshoot setroubleshoot-server。安装完成之后重引导机器或重启 auditd 服务。
使用 journalctl 去列出所有与 setroubleshoot 相关的日志:# journalctl -t setroubleshoot --since=14:20
使用 journalctl 去列出所有与特定 SELinux 标签相关的日志。例如:# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
当 SELinux 错误发生时,使用setroubleshoot 的日志,并尝试找到某些可能的解决方法。例如:从 journalctl 中:
Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e # sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. ***** Plugin restorecon (99.5 confidence) suggests ************************ If you want to fix the label, /var/www/html/index.html default label should be httpd_syscontent_t. Then you can restorecon. # /sbin/restorecon -v /var/www/html/index.html
日志:在审计日志中查找 SELinux 错误:# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
针对特定的服务,搜索 SELinux 的访问向量缓存Access Vector Cache(AVC)信息:# ausearch -m avc -c httpd
audit2allow 实用工具可以通过从日志中搜集有关被拒绝的操作,然后生成 SELinux 策略允许的规则,例如:
产生一个人类可读的关于为什么拒绝访问的描述:# audit2allow -w -a 查看允许被拒绝的类型强制规则:# audit2allow -a 创建一个自定义模块:# audit2allow -a -M mypolicy,其中 -M 选项将创建一个特定名称的强制类型文件(.te),并编译这个规则到一个策略包(.pp)中:mypolicy.pp mypolicy.te 安装自定义模块:# semodule -i mypolicy.pp启用 SELinux MLS 策略:# yum install selinux-policy-mls。 在 /etc/selinux/config 中:
SELINUX=permissive SELINUXTYPE=mls
确保 SELinux 运行在许可模式:# setenforce 0
使用 fixfiles 脚本来确保在下一次重启时文件将被重新标签化:# fixfiles -F onboot # reboot
创建一个带有特定 MLS 范围的用户:# useradd -Z staff_u john
使用 useradd 命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是 staff_u)。
修改类别或者创建你自己的分类,修改如下文件:/etc/selinux/_ selinuxtype _/setrans.conf
以某个特定的文件、角色和用户安全上下文来运行一个命令或者脚本:# runcon -t initrc_t -r system_r -u user_u yourcommandhere
-t 是文件安全上下文 -r 是角色安全上下文 -u 是用户安全上下文使用 Podman:# podman run --security-opt label=disable ... 使用 Docker:# docker run --security-opt label=disable ...
Alex Callejas 是位于墨西哥城的红帽公司拉丁美洲区的一名技术客服经理。作为一名系统管理员,他已有超过 10 年的经验。在基础设施强化方面具有很强的专业知识。对开源抱有热情,通过在不同的公共事件和大学中分享他的知识来支持社区。天生的极客,当然他一般选择使用 Fedora Linux 发行版。[这里][11]有更多关于他的信息。
via: https://opensource.com/article/18/7/sysadmin-guide-selinux
作者:Alex Callejas 选题:lujun9972 译者:qhwdw, FSSlc 校对:wxy
本文由 LCTT 原创编译,Linux中国 荣誉推出
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/47607.html
apacheDockerFedoraiptableslinux开源虚拟机相关文章
- CSGO闪退,更新,无法启动,加载地图卡住等问题解决方案
- 网页中图片去色问题是什么_网页问题
- 实验7 粒子群优化算法求解tsp问题[通俗易懂]
- 装载问题 ——回溯法(Java)
- 要不要入职?是时候考虑这个问题了!
- centos7防火墙导致java程序访问mongodb3.0.1时报错的问题分析
- 排查Linux服务器连接问题的终极指南(linux服务器连接不上)
- Linux网络端口问题排查指南(linux端口问题)
- 问题解决Neo4j启动问题:一次性方案(neo4j启动)
- Oracle实施指南:解决实际问题的技术文档(oracle实施文档)
- 空间解决Oracle用户表空间问题的指南(oracle修改用户的表)
- 受 CAA 代码问题影响 Let’s Encrypt 于 3 月 4 日撤销部分证书
- Linux排除异常问题,故障排除指南(linuxexcept)
- 如何修复Oracle表空间损坏问题——详细指南(oracle表空间损坏)
- 解决Linux系统常见问题:简单指南(关于linux的问题)
- 问题EF Core中Oracle数据库配置指南(ef 中oracle配置)
- Redis健康检测指南从故障排查到解决方案(redis问题排查思路)
- Oracle SID配置指南有效解决实例连接问题(oracle sid配置)
- Oracle DG面试指南搞定面试必备问题(oracle dg面试题)
- 快速解决Redis常见问题的一站式指南(redis问题汇总)
- 解决Redis连接缓慢问题指南(redis连接缓慢)
- 解析ADT-20问题androidsupportlibrary
- 八步解决ACCESS自动编号问题(将SQLSERVER2000数据库,转换为ACCESS数据库)