本章內容

SELinux概念
啟用SELinux
管理文件安全標簽
管理端口標簽
管理SELinux布爾值開關
管理日志
查看SELinux幫助

SELinux介紹

SELinux: Secure Enhanced Linux，是美國國家安全局「NSA=The National Security Agency」和SCC（Secure Computing Corporation）開發的Linux的一個強制訪問控制的安全模塊。2000年以GNU GPL發布，Linux內核2.6版本后集成在內核中
工作于linux內核中。
DAC：Discretionary Access Control自由訪問控制 linux自己的控制機制
MAC：Mandatory Access Control 強制訪問控制 selinux的控制機制

?DAC環境下進程是無束縛的
?MAC環境下策略的規則決定控制的嚴格程度
?MAC環境下進程可以被限制的
?策略被用來定義被限制的進程能夠使用那些資源（文件和端口）
?默認情況下，沒有被明確允許的行為將被拒絕

SELinux工作類型

SELinux有四種工作類型：

strict: centos5,每個進程都受到selinux的控制  嚴格
targeted: 用來保護常見的網絡服務,僅有限進程受到selinux控制，只監控容易被入侵的進程，rhel4只保護13個服務，rhel5保護88個服務

minimum：centos7,修改過的targeted，只對選擇的網絡服務
mls:提供MLS（多級安全）機制的安全性


[root@centos6 ~]# cat /etc/sysconfig/selinux 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

minimum和mls穩定性不足，未加以應用

SELinux安全上下文

subject operation oject

subject:進程
object:進程，文件(一切皆文件，用戶也是文件..)--資源
        文件支持的操作：open，read，write，close，chown，chmod..
operation：對象特性不同，支持的操作也不同。

selinux限定一個進程對資源的操作功能及范圍（作用域）
操作者和被操作資源是否在同一個有效區域內。
selinux給某進程打上標簽，將其使用的資源都集合進來。從而形成沙箱
subject：domain 域
object：type 類型

selinux為每個文件提供了安全標簽，也為進程提供安全標簽。
/etc/sysconfig/selinux 修改配置文件，重啟系統會給每個文件打上標簽。

傳統Linux，一切皆文件，由用戶，組，權限控制訪問
在SELinux中，一切皆對象，由存放在Inode的擴展屬性域的安全元素所控制其訪問。
所有文件和端口資源和進程都具備安全標簽：安全上下文”（security context）
安全上下文有五個元素組成：
usertypecategory
user_utmp_tc0
實際上下文：存放在文件系統中，ls –Z;ps–Z
期望(默認)上下文：存放在二進制的SELinux策略庫（映射目錄和期望安全上下文）中
semanage fcontext –l

五個安全元素

后兩段安全元素對rllinxu沒有意義，主要看前三段。
對進程來講，type不叫類型，叫域

User:指示登錄系統的用戶類型,如root，user_u,system_u，多數本地進程都屬于自由（unconfined）進程。不是指當前主機的user，指的是selinux的user。
Role:定義文件，進程和用戶的用途：文件:object_r，進程和用戶：system_r。也是針對selinux的角色，如果不做策略開發，也沒什么用。
Type:指定數據類型，規則中定義何種進程類型訪問何種文件Target策略基于type實現,多服務共用：public_content_t。
Sensitivity:限制訪問的需要，由組織定義的分層安全級別，如unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級，s0最低,Target策略默認使用s0
Category：對于特定組織劃分不分層的分類，如FBI Secret，NSA secret, 一個對象可以有多個categroy，c0-c1023共1024個分類，Target 策略不使用cateaory

SELinux策略

對象(object)：所有可以讀取的對象，包括文件、目錄和進程，端口等，
主體：進程稱為主體(subject)
SELinux中對所有的文件都賦予一個type的文件類型標簽，對于所有的進程也賦予各自的一個domain的標簽。Domain標簽能夠執行的操作由安全策略里定義。
當一個subject試圖訪問一個object，Kernel中的策略執行服務器將檢查AVC (訪問矢量緩存Access Vector Cache), 在AVC中，subject和object的權限被緩存(cached)，查找“應用+文件”的安全環境。然后根據查詢結果允許或拒絕訪問
安全策略：定義主體讀取對象的規則數據庫，規則中記錄了哪個類型的主體使用哪個方法讀取哪一個對象是允許還是拒絕的，并且定義了哪種行為是充許或拒絕

設置SELinux

配置SELinux:
SELinux是否啟用
給文件重新打安全標簽
給端口設置安全標簽
設定某些操作的布爾型開關
SELinux的日志管理
SELinux的狀態：
enforcing: 強制，每個受限的進程都必然受限
permissive: 允許，每個受限的進程違規操作不會被禁止，但會被記錄于審計日志
disabled: 禁用

相關命令：
getenforce: 獲取selinux當前狀態
sestatus:查看selinux狀態
setenforce0|1
0: 設置為permissive
1: 設置為enforcing
配置文件:
/boot/grub/grub.conf
使用selinux=0禁用SELinux
/etc/sysconfig/selinux
/etc/selinux/config
SELINUX={disabled|enforcing|permissive}

修改SELinux安全標簽

給文件重新打安全標簽：
    chcon[OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
    chcon[OPTION]... --reference=RFILE FILE...
    -R：遞歸打標；
恢復目錄或文件默認的安全上下文：
    restorecon[-R] /path/to/somewhere

默認安全上下文查詢與修改

semanage來自policycoreutils-python包
查看默認的安全上下文
    semanage fcontext–l
添加安全上下文
    semanage fcontext-a –t httpd_sys_content_t‘/testdir(/.*)?’
    restorecon–Rv/testdir
刪除安全上下文
    semanage fcontext-d –t httpd_sys_content_t‘/testdir(/.*)?’

Selinux端口標簽

查看端口標簽
    semanage port –l
添加端口
    semanage port -a -t port_label-p tcp|udp PORT
    semanage port -a -t http_port_t -p tcp 9527
刪除端口
    semanage port -d -t port_label-p tcp|udp PORT
    semanage port -d -t http_port_t -p tcp 9527
修改
    semanage port -m -t port_label-p tcp|udp PORT
    semanage port -m -t http_port_t-p tcp9527

SELinux布爾值

布爾型規則：
    getsebool
    setsebool
查看bool命令：
    getsebool[-a] [boolean]
    semanageboolean–l
    semanageboolean-l –C 查看修改過的布爾值
設置bool值命令：
    setsebool[-P] booleanvalue
    setsebool[-P] Boolean=value

SELinux日志管理

yum install setroublesshoot*（重啟生效）
    將錯誤的信息寫入/var/log/message
grep setroubleshoot/var/log/messages
sealert-l UUID
    查看安全事件日志說明
sealert-a /var/log/audit/audit.log
    掃描并分析日志

SELinux幫助

[root@serverX ~]# yum -y install selinux-policy-devel
[root@serverX ~]# mandb
[root@serverX ~]# man -k _selinux