selinux学习理解.docVIP

selinux学习理解 一、什么是selinux。 selinux全称是security enhanced linux，安全强化linux,是MAC（mandatory access control，强制访问控制系统)的一个实现，目的在于明确的知名某个程序可以访问哪些资源（程序，端口）。它的用户在于防范0—DAY攻击（利用尚未公开的漏洞实现攻击），所以它不是防火墙和ACL的替代品，功能也不重复。 举例来说，系统上Apache被发现存在一个漏洞，使得远程用户可以访问系统上的敏感文件（比如/etc/passwd),且修复该漏洞的补丁尚未发布，此时selinux可以起到弥补漏洞的方法。因为/etc/passwd不具有apache的访问标签，所以Apache对于/etc/passwd的访问会被selinux阻止。 相比其他强制访问系统，selinux有如下访问优势： 控制策略是可以查询，而非程序比可见的。 2.可以热更改策略，无需或停止服务。 3.可以从程序初始化、继承、执行三个方面，使用策略进行控制。 4.控制范围广，包括：文件系统，目录，文件，文件启动描述符，端口，消息接口，网络接口。 二、了解和配置selinux。 1、获取当前selinux运行状态 getenforce：可能返回三种结果 Enforcing：记录报警且阻止可疑行为。 Permissive：记录告警，不阻止可以行为。 Disable：关闭selinux。 默认是Enforcing 2、改变selinux状态。 setenforce 1|0 1代表Enforcing，0代表Permissive。此时不需要重启系统就可以实现。 要永久改变selinxu的状态，在／etc／sysconfig／selinux实现。当从disable切换到enforcing或permissive时，要重启系统并为整个文件系统重新创建安全标签。 ３、selinux运行策略。 配置文件／etc／sysconfig／seilnux还包含了selinux运行策略的信息，通过改变SELINUXTYPE值实现，该值有两种可能：targeted代表仅针对预制的几种网络服务和访问请求都要使用selinux。strict代表所有网络服务和访问请求要经过selinux。默认为targeted,包含了几乎所有的网络服务的selinux策略配置，已经默认安装并且无需更改可以直接使用。 ４、coreutils工具的selinux模式 常见的属于coreutils的工具如ps\ls等，可以通增加－Ｚ的方式查看selinux的信息。 例：ls -Z /etc/ 查看目录 ps -auxZ 查看进程 三、Apache selinux配置实例 让Ａpcche可以访问位于非默认目录下的网站。 首先，用semanage fcontext -l | grep ‘/var/www/’得到默认的selinux上下文， /var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0 ，可以看到apache只能访问有第三段object_r:httpd_sys_content_t标签的文件，那么就可以给你想的访问的非默认目录增加这个标签。分为两步：为目录增加标签，semanage fcontext -a -t httpd_sys_content_t ‘/www’,然后用新标签为已有的文件进行标注，restorecon -Rv /www，就可以使用这个目录下的网站了。 restorecon起到的是恢复文件默认标签的作用。如从其它目录复制文件到／var／www／html时，无法访问，因为标签不同，这时就要用restorecon将文件的标签恢复成Ａpache可以访问的标签。 例： 2、让apache侦听非标准端口。 默认情况下Ａpache只侦听８０和４４３两个端口，若要想让它侦听指定的８８８端口的话，会在apache启动时报错。 这时候可以在/var/log/messages中查看， ３、允许Ａpache访问创建的私人网站。 若希望在～／pulib_html下创建私人网站，需要在Ａpache策略中允许该操作，使用setsebool httpd_enable_homedirs 1来改变selinux的bool值，getsebool　－a得到现在系统中的bool值，默认情况下，重启后上述操作无效，若想永久生效，加－Ｐ参数，setsebool －P　httpd_enable_homedirs 1 四、其它 man httpd_selinuxs相看相关服务的手册 setr