20191224-第十二次上课http3、dnsselinux

1、SELinux（安全增强型Linux）是可保护你系统安全性的额外机制。看作与标准权限系统并行的权限系统，在常规权限模式中， 以用户身份运行进程，并且系统上的文件和其他资源都设 置了权限标签。SELinux增加了一个并行权限集合，其中每个进程通过SELinux安全性上下文运行，系统上的文件和其他资源也都设置了安全性上下文标签。与普通权限不同在于可配置的SELinux策略控制哪些进程上下文可以访问哪些文件上下文。RedHat提供了一个大多数用户使用的默认策略。 SELinux另一个不同在于，如要访问文件，你必须 同时具有普通访问权限和SELinux访问权限。因此， 即使用root身份运行进程，根据

2、进程以及文件或资 源的SELinux安全性上下文可能拒绝访问文件或资 源 未打开SELinux的普通系统的示例（运行Apache web服务器） 打开SELinux的普通系统的示例（运行Apache web服务器） 默认情况下，SELinux策略拒绝所有访问，除非策略中包含的规则允许特定进程上下文访问特定文件和资源上下文。 Web服务器的httpd进程设置了SELinux上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是冒号分开的第三个字段类型：httpd_t 系统上的文件和资源也设置了SELinux上下文标签， 并且重要的部分是SELinux类型。例如：/v

3、ar/www/html 中的文件具有类型httpd_sys_content_t。/tmp和/var/tmp中的文件通常具有类型tmp_t SELinux策略具有允许以httpd_t 身份运行的进程访问标记为 httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有tmp_t 的文件， 因此将拒绝这些访问，即使常规文件权限允许这些访问 SELinux的目标之一，保护用户数据免受已泄漏的系统服务的威胁，甚至包括root账户。 SELinux具有特殊类型 unconfined_t，可忽略所有SELinux限制。 以root身份登录系统，通常以unconfined_t身份运

4、行，同时允许忽略所有常规权限。使用id命令可以查看root shell的当前上下文。当root运行程序时， 根据程序的可执行文件标记的类型，可以在限制更多的上下文中来启动程序/etc/selinux/config enforce强制模式permissive许可模式disabled禁用模式 强制模式中， SELinux主动拒绝访问尝试读取类型上下文为tmp_t 的文件的web服务器。在强制模式中， SELinux既记录冲突，也强制执行规则 许可模式通常用于对问题进行故障排除。在此模式中，即使没有明确规则， SELinux也允许所有交互，并记录所有被拒绝的交互。用来判断SELinux是否有问题。无

5、需重启可在强制和许可模式间切换。 禁用模式，完全禁用SELinux。必须重启生效。1:显示和修改SELinux模式 在引导时，使用/etc/sysconfig/selinux 更改默认SELinux 模式。 如要显示当前SELinux 模式，请使用 getenforce。如要修改当前SELinux 模式，请使用setenforce。setenforce0setenforce 12:显示和修改 SELinux 文件上下文。 许多处理文件的命令具有一个用于显示或设置SELinux 上下文的选项（通常是 -Z）。 例如，ps，ls，cp 和 mkdir 都使用 -Z 选项显示或设置 SELinux

6、上下文。# ps axZ# service httpd start # ps -ZC httpd# ls -Z /home# ls -Z /var/www3:什么确定文件的初始SELinux 上下文呢？ 通常是父目录。将父目录的上下文指定给新创建的文件。 这对vim，cp 和touch 等命令起作用，但是，如果文件是在其他位置创建的并且保留了权限（与mv，或cp -a 一样），则还保留SELinux 上下文。# ls -Zd /var/www/html/# touch /var/www/html/index.html # ls -Zd /var/www/html/index.html4: se

7、manage fcontext 可 用 于 显 示 或 修 改 ， restorecon 用来设置默认文件上下文的规则。它使用扩展正则表达式来指定路径和文件名。 fcontext 规则中最常用的扩展正则表达式是（/.*）?，表示随意地匹配/后跟任何数量的字符。本质上，它将递归地与表达式前面列出的目录以及该目录中的所有内容相匹配。5:restorecon 是 policycoreutil 软件包的一部分， semanage 是 policycoreutil-python 软件包的一部分。# touch /tmp/file1 /tmp/file2 # ls -Z /tmp/file*# mv /t

8、mp/file1 /var/www/html # cp /tmp/file2 /var/www/html # ls -Z /var/www/html/file*# semanage fcontext -l# restorecon -Rv /var/www/ # ls -Z /var/www/html/file*6:使用semanage 针对新目录添加上下文。# mkdir /virtual# touch /virtual/index.html # ls -Zd /virtual/# ls -Z /virtual/# semanage fcontext -a -f -t httpd_sys_co

9、ntent_t /virtual(/.*)?#restorecon RFvv /virtual # ls -Zd /virtual/# ls -Z /virtual/7:使用chcon来设置上下文chcon -t httpd_sys_content_t目录或文件递归chcon-tR1：selinux设置成许可模式2：开启samba做共享，客户端要测试通过3：selinux设置成强制模式，客户端重新访问4：将共享目录改成777，客户端重新访问5：修改共享目录的安全上下文，客户端重新访问samba_share_t1:安装setroubleshoot-server 软件包2: /var/log/audit/audit.log SELinux 布尔值是更改SELinux 策略行为的开关。 SELinux 布尔值是可以启用或禁用的规则。 安全管理员可以使用SELinux 布尔值来调整策略， 以有选择地进行调整。许多软件包都具有man page*_selinux(8)，其中详细 说 明 了 所 使 用 的 一 些 布 尔 值 ；man -k _selinux可以轻松地找到这些手册。 getsebool 用于显示布尔值，setsebool用于修改布尔值。 setsebool -P 修