管理SELinux安全性
1.SELinux如何保护资源
(1)SElinux可允许或拒绝访问文件和其他资源,且精准度比用户权限大幅提高
SELinux 由若干组策略组成,准确声明了对于应用使用的每个可执行文件、配置文件和数据文件,哪些操作和访问是被允许的。这被称为targeted policy。
策略声明了各个程序、文件和网络端口的预定义label
2.为什么使用SELinux
(1)并非所有安全问题都可以提前预测。SELinux 可以防止因为应用程序的漏洞而影响其他应用访问
(2)SELinux 有一个额外的安全层,此外还有一层复杂结构,执行 policy 意味着系统某一部分的弱点不会扩散到其他部分
SELinux 有三种模式:
- Enforcing:SELinux 强制执行访问控制规则,机器通常在该模式下运行
- Permissive:SELinux 处于活动状态,但并不强制执行访问控制规则,而是记录违反规则的日志,该模式主要用于测试和故障排除
- Disabled:SELinux 完全关闭(需要系统重启)
(3)SELinux 则提供另一层安全,它基于对象并由更加复杂的规则控制,称为强制访问控制(MAC)。
要允许远程匿名访问 Web 服务器,就必须打开防火墙端口,这会让恶意人员有机会通过安全漏洞侵入系统,如果成功入侵 Web 服务器进程,就可以获得apache用户和apache组的权限。该用户和组对文档根目录/var/www/html具有读取权限,入侵者还可以访问/tmp和/var/tmp,以及全局可写的任何文件和目录。
(4)SELinux 有一组安全规则,它定义进程可以访问哪些文件、目录和端口。
每个文件、进程、目录和端口都有专门的安全标签,称为 SELinux上下文(context)。
SELinux 策略使用 context 来确定某个进程能否访问文件、目录或端口。如果没有允许规则,则不允许访问。(标签和进程的端口匹配)
SELinux 标签具有多种 context:user, role, type 和 sensitivity。目标策略(target policy 即 RHEL 中启用的默认策略)会根据第三个 context(即 type context)来制定自己的规则。type context 名称通常以_t结尾。
(5)MariaDB 服务器的 type context 为mysqld_t,默认情况下,在/data/mysql中的文件具有mysqld_db_ttype context,该 type context 允许 MariaDB 访问这些文件,但禁止其他服务(如 Apache 服务)的访问。
(6)-Z显示SELinux context
3.更改当前SELinux模式
(1)getenforce 确定当前SELinux模式
(2)setenforce (临时启用,重启后就没了)更改SELinux模式
Enforcing 1 ;Permissive 0
(3)/etc/selinux/config文件可永久设置 SELinux 模式,系统在启动时读取并配置
4.控制SELinux上下文
新文件通常从父目录继承其 SELinux context(`mv` 或 `cp -a`通常除外)。
(1)更改文件的SELinux上下文
命令包括:semanage fcontext、restorecon和chcon。
semanage fcontext命令声明文件的默认标签。
restorecon命令将该 context 应用于文件。-->>还原标签
chcon命令更改 SELinux context,但它不会将 context 更改保存到 SELinux context 数据库中,运行restorecon后会还原。-->>临时修改
(2)semanage fcontext命令可显示和修改文件默认 context 规则。
fcontext规则中最常用的扩展正则表达式是(/.*)?,表示 “可递归匹配后跟任何数量字符的 /”。
semanage fcontext命令选项:-->>给系统数据库添加的
表格
| 选项 | 描述 |
|---|---|
-a, --add | 添加指定对象类型的记录 |
-d, --delete | 删除指定对象类型的记录 |
-l, --list | 列出指定对象类型的记录 |
(3)布尔值是可更改 SELinux 策略行为的参数。可以启用或禁用它们来调整策略。