Linux安全中阶教程之SElinux(适合有一定水平的管理员).docx

Linux安全中阶教程之SElinux(适合有一定水平的管理员)一:SElinux（安全增强linux简介）1：使用SElinux可以将进程放入在特定的SElinux域，同时赋予系统上的资源（如文件，网络套接字，系统调用等）SElinux上下文。装入SElinux的策略（通常作为系统启动过程的一部分），然后决定哪个进程域可以访问哪些资源上下文。2：在红帽企业版linux 5中，有关SElinux的选择有下面几种：（1）我是否需要启用SElinux（2）一旦启用，我需要SElinux处于允许（permissive）还是强制（enforcing）状态。（3）我需要在文件上赋予什么样的SElinux上下文。3：在实际工作中，红帽企业版linux 5支持一种SElinux策略,叫目标策略（targeted）.这个策略在大多数应用之中。在目标策略之中，只有目标进程受到SElinux的影响。而其他进程运行在非限制模式下。目标策略只影响常用的网络应用程序。受到限制的服务在200个以上，有增加的趋势。SElinux限制的典型应用程序如下：（1）dhcp（2）httpd（3）mysqld（4）named（5）nscd(?)（6）ntpd(?)（7）portmap（8）postgres(?)（9）snmpd(?)（10）squid（11）syslogd4:启用SElinux/etc/sysconfig/selinuxsetenforcegetenforce/etc/sysconfig/selinux(1)强制（enforcing）:任何违法SElinux的操作都被禁止。(2)允许（permissive）:任何违反SElinux的操作都会受到一个警告信息。但是行动可以继续。(3)停用（disabled）:不启用SElinux策略。Setenforce和getenforce命令Setenforce 0/10 表示允许；1 表示强制Getenforce查看当前SElinux的状态。5：查看SElinux上下文使用命令 ps Z 和 ls Z每个进程都属于个SElinux域；每个文件都被赋予一个SElinux上下文。相关的域和上下文可以使用ls和ps命令的命令选项 Z 来显示进程SElinux域和SElinux上下文，具有以下格式：System_u：object_r：httpd_exec：s0说明：上面的字段以冒号作为分隔符，第一个字段：用户第二个字段：角色第三个字段：类型第四个字段：与MLS,MCS有关说明：SEliunx目标策略只于第三个字段有关，即类型字段（TYPE）.二：SElinux介绍SElinux是美国国家安全局为linux系统设计的一项开放源码项目，主要是希望将其作为系统的最后一道防线，来抵御黑客的攻击和入侵系统。1常见的读取控制1.1DAC （Discretionary Access Control）”任意式读取控制”。在DAC的架构下，每个对像都会记录一个拥有者的信息。只要是对象的拥有者，就可以获得该对象的完全控制权限。DAC允许拥有者完全权限。其他需要读取该对象时候，必须授予适当的权限。但是每个对象仅有一组拥有者的信息，如果需要更复杂的读取控制能力，必须使用ACL。ACL的全名是“访问控制列表（Access Control List）”.是DAC的延伸。在ACL环境下，你可以不同的用户设置一组权限。如此一来，就可以对不同的用户设置不同的权限了。1.2MAC （Mandatory Access Control）“强制性读取控制”.在MAC架构下，会为每一个对象添置一个安全的上下文（Security Context）.进程和用户除了具备传统的的权限之外，还必须获得SElinux的授权，方能读取对象。1.2.1RBACRBAC全称是“角色基础读取控制”（Role-based Access Control）,在此架构下，是以用户所属的角色进行读取权限判定的动作的。如：老板的可以读取哪些对象，经理可以读取哪些对象。等1.2.2MLSMLS全名是“多层次安全”（Mulit-Level Security）,在此架构下，是以对象的机密等级来决定进程对该物的读取权限的。2：SElinuxSElinux是一个在内核中执行，提供MAC能力的子系统，以弥补传统的DAC架构的不足。SElinux子系统以“类型强制性”读取控制机制为主，并融合RBAC，MLS与MCS 3种MAC读取控制机制的特性。2.1 什么是类型强制性的读取控制机制？在SElinux世界里，定义了许多的类型（TYPE）.每一个进程，文件，设备，网络连线等，都必须标示其所属的类型。进程仅能读取相同类型的文件，如果非相关的类型，且SEliunx不允许读取时，则无法读取。这就是类型强制性的读取控制机制。警告：SElinux的类型读取控制是在传统的DAC权限之后进行的。换言之，就是说在取得了DAC权限之后，再由SElinux来进行类型的强制性控制了。3：SElinux的术语3.1 对象在SElinux里，所有可被读取的的皆为对象。3.2 主体在SElinux里，把进程理解为主体3.3 类型SElinux允许你为系统中的每一个主体或对象定义一个类型。3.4 领域3.5 用户SElinux通过用户代表一些账号的识别数据。3.6 角色角色用来代表某一些用户或对象的组合。3.7 安全策略SElinux目前有三个安全策略：targeted,strict,mls 3个安全策略，每一个安全策略的功能，用途和定位不同的。3.7.1targeted: 用来保护常见的网络服务#默认的redhat enterprise linux 会自动安装。3.7.2strict:用来提供符合 RBAC机制的安全性能3.7.3mls:用来提供符合MLS机制的安全性。注意：本文档主要讲解安全策略targeted.3.8 安全上下文SElinux系统中的每一个进程与对象都会记录一条安全上下文。4：SElinux软件包5：初始化SElinux程序6：切换SElinux状态6.1 查看SElinux的状态命令：sestatus-v7:停用和启用SElinux7.1 通过内核启动参数如：kernel/vmlinuz.ro root=LABEL=/ rhgb quiet selinux=N(0/1)0表示停用1表示启用7.2 通过SElinux配置文件/etc/sysconfig/selinux连接文件/etc/selinux/config源文件7.3 手动启用或停用SElinux三：管理安全上下文RED HAT ENTERPRISE LINUX的每一个对象都会存储其安全上下文。并将其作为SElinux判断进程能否读取的依据。1：SElinux的安全上下文的格式：USER:ROLE:TYPE:LEVEL:CATEGORY1.1USER用户字段这个字段用来记录用户登录系统后所属的SElinux的身份的。USER 通常以 _u为后缀，常见的如下：System_u系统账号类型的使用者User_u真实用户类型的使用者Root超级用户的使用者说明：targeted安全策略并未支持USER字段1.2ROLE角色字段ROLE 通常以 _r为后缀说明：targeted安全策略并未支持ROLE字段1.3TYPE字段TYPE 类型字段通常以 _t为后缀的。这个字段是SElinux安全上下文中最常用也是最重要的字段。常见的TYPE字段如下：下列表格列举了常见的TYPE字段项目说明Unconfiged_未设置类别Default_t默认类别Mnt_t代表挂载点的类型，/mnt/中的文件属于这个类别Boot_t作为开机文件的类型，/boot/中文件属于这个类别Bin_t作为二进制执行文件，/bin中多数属于这个类别Sbin_t作为系统管理类型的文件，/sbin中属于这个类别Device_t代表设备文件. /dev 下属于这个类别Lib_t连接库类型/lib 下属于这个类别Var_tUsr_tEtc_t.Tty_device_t代表终端机或控制台设备Su_exec_t具备SU功能的执行文件Java_exec_tJAVA相关的执行文件Public_content_t公共内容类型的文件。如：FTP，NFS等服务器文件Shadow_t代表存储密码文件的类型Httpd_t作为HTTP文件的相关类别1.4LEVEL（层次）和CATEGORY（分类）字段（略过）2：安全上下文的默认值RED HAT LINUX 系统如何产生每一个对象的安全上下文？从进程和文件两方面加以分析：2.1进程默认安全上下文子进程继承父进程的安全上下文，除外子进程修改了自己的安全上下文。2.2文件默认的安全上下文2.2.1安装RPM包说产生的文件因为RPM包里面就记录了每一个文件的安全上下文的数据，所以在安装RPM包的时候，RPM工具就会自动配置安装包里面的文件的上下文到系统目录里面。2.2.2手动建立的新文件在什么目录下建立新文件，就沿用什么目录的安全上下文。3：查看文件和进程的安全上下文使用命令：id Z (查看账号的)；ls Z (查看文件的)；ps Z (查看进程的)。4：修改安全上下文修改对象（文件）的安全上下文，使用命令：chcon命令格式：Chcon OPTIONS CONTEXT FILES.Chcon OPTIONS reference=PEF_FILES FILES说明：CONTEXT 为要设置的安全上下文FILES 对象（文件）-reference参照的对象PEF_FILES参照文件上下文FILES应用参照文件上下文为我的上下文。OPTIONS 如下：-f强迫执行-R递归地修改对象的安全上下文-r ROLE修改安全上下文角色的配置-t TYPE修改安全上下文类型的配置-u USER修改安全上下文用户的配置-v显示冗长的信息5：修复安全上下文先使用命令matchpathcon 找出对象的安全上下文，然后再使用命令chcon命令修改对象的安全上下文。5.1.2使用命令fixfiles工具仅修复RPM包里的对象的安全上下文使用工具fixfiles来修复RPM包文件的安全上下文。命令格式：fixfiles -R PACKAGES check|restore参数说明：-R PACKEAGES指定仅修复PACKAGES软件包；如果没有指定这个参数，表示修复所有的软件包Check仅检查指定的软件包中错误的安全上下文Restore除了检查之外，还