初識selinux

一、selinux介紹

    1.selinux歷史

    SELinux: Secure Enhanced Linux，是美國國家安全局「NSA=The National Security Agency」和SCC（Secure Computing Corporation）開發的Linux的一個強制訪問控制的安全模塊。2000年以GNU GPL發布，Linux內核2.6版本后集成在內核中

    DAC：Discretionary Access Control自由訪問控制

    MAC：Mandatory Access Control 強制訪問控制

        ?DAC環境下進程是無束縛的

        ?MAC環境下策略的規則決定控制的嚴格程度

        ?MAC環境下進程可以被限制的

        ?策略被用來定義被限制的進程能夠使用那些資源（文件和端口）

        ?默認情況下，沒有被明確允許的行為將被拒絕

    2.selinux的四種工作類型

        （1）strict: centos5,每個進程都受到selinux的控制

         （2）targeted: 用來保護常見的網絡服務,僅有限進程受到selinux控制，只監控容易被入侵的進程，rhel4只保護13個服務，rhel5保護88個服務

        （3）minimum：centos7,修改過的targeted，只對選擇的網絡服務

        （4）mls:提供MLS（多級安全）機制的安全性

        （5）minimum和mls穩定性不足，未加以應用

    3.selinux安全上下文

        （1）傳統Linux，一切皆文件，由用戶，組，權限控制訪問

        （2）在SELinux中，一切皆對象，由存放在Inode的擴展屬性域的安全元素所控制其訪問。

        （3）所有文件和端口資源和進程都具備安全標簽：安全上下文”（security context）

        （4）安全上下文有五個元素組成：

            user:role:type:sensitivity:category

            user_u:object_r:tmp_t:s0:c0

        （5）實際上下文：存放在文件系統中，ls –Z;ps–Z

        （6）期望(默認)上下文：存放在二進制的SELinux策略庫（映射目錄和期望安全上下文）中

            semanage fcontext–l

    4.五個安全元素

        （1）User:指示登錄系統的用戶類型,如root，user_u,system_u，多數本地進程都屬于自由（unconfined）進程

        （2）Role:定義文件，進程和用戶的用途：文件:object_r，進程和用戶：system_r

        （3）Type:指定數據類型，規則中定義何種進程類型訪問何種文件Target策略基于type實現,多服務共用：public_content_t

        （4）Sensitivity:限制訪問的需要，由組織定義的分層安全級別，如unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級，s0最低,Target策略默認使用s0

        （5）Category：對于特定組織劃分不分層的分類，如FBI Secret，NSA secret, 一個對象可以有多個categroy，c0-c1023共1024個分類，Target 策略不使用cateaory

    5.selinux策略

        （1）對象(object)：所有可以讀取的對象，包括文件、目錄和進程，端口等，

        （2）主體：進程稱為主體(subject)

        (3）SELinux中對所有的文件都賦予一個type的文件類型標簽，對于所有的進程也賦予各自的一個domain的標簽。Domain標簽能夠執行的操作由安全策略里定義。

        （4）當一個subject試圖訪問一個object，Kernel中的策略執行服務器將檢查AVC (訪問矢量緩存Access Vector Cache), 在AVC中，subject和object的權限被緩存(cached)，查找“應用+文件”的安全環境。然后根據查詢結果允許或拒絕訪問

        （5）安全策略：定義主體讀取對象的規則數據庫，規則中記錄了哪個類型的主體使用哪個方法讀取哪一個對象是允許還是拒絕的，并且定義了哪種行為是充許或拒絕

二、設置selinux

    1.配置selinux

       （1） SELinux是否啟用

       （2） 給文件重新打安全標簽

       （3） 給端口設置安全標簽

       （4） 設定某些操作的布爾型開關

       （5） SELinux的日志管理

    2.selinux的狀態：

       （1） enforcing:強制，每個受限的進程都必然受限

       （2） permissive: 允許，每個受限的進程違規操作不會被禁止，但會被記錄于審計日志

       （3） disabled: 禁用

    注意：

        關閉狀態創建的文件不會有selinux標簽

        重新開啟后需重啟，會自動給沒有標簽的文件打上標簽

    3.相關命令：

       （1） getenforce: 獲取selinux當前狀態

       （2） sestatus:查看selinux狀態

       （3） setenforce0|1

            0: 設置為permissive

            1: 設置為enforcing

    4.配置文件

        （1）/boot/grub/grub.conf

            使用selinux=0禁用SELinux

       （2） /etc/sysconfig/selinux

       （3） /etc/selinux/config

       （4） SELINUX={disabled|enforcing|permissive}

    5.修改selinux安全標簽

        （1）給文件重新打安全標簽     

            chcon[OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE…

            chcon[OPTION]… –reference=RFILE FILE… 參考文件修改安全上下文標簽

        （2）恢復目錄或文件默認的安全上下文

            restorecon[-R] /path/to/somewhere

    6.默認安全上下文查詢與修改

        （1）semanage來自policycoreutils-python包

        （2）查看默認的安全上下文

            semanagefcontext–l

        （3）添加安全上下文

            semanagefcontext-a –t httpd_sys_content_t‘/testdir(/.*)?’

            restorecon–Rv/testdir

        （4）刪除安全上下文

            semanagefcontext-d –t httpd_sys_content_t‘/testdir(/.*)?’

    7.selinux端口標簽

        （1）查看端口標簽

            semanageport –l

        （2）添加端口

            semanageport -a -t port_label-p tcp|udpPORT

            semanage port -a -t http_port_t -p tcp 9527

        （3）刪除端口

            semanageport -d -t port_label-p tcp|udpPORT

            semanage port -d -t http_port_t -p tcp 9527

        （4）修改

            semanageport -m -t port_label-p tcp|udpPORT

            semanageport -m -t http_port_t-p tcp9527

三、selinux布爾值

    1.布爾值規則：

        getsebool

        setsebool

    2.查看bool命令

        getsebool[-a] [boolean]

        semanageboolean–l

        semanageboolean-l –C 查看修改過的布爾值

    3.設置bool值命令

        setsebool[-P] booleanvalue

        setsebool[-P] Boolean=value

四、selinux日志管理及幫助

    1.selinux日志管理

        yum install setroublesshoot*（重啟生效）

        將錯誤的信息寫入/var/log/message

        grep setroubleshoot/var/log/messages

        sealert-l UUID

        查看安全事件日志說明

        sealert-a /var/log/audit/audit.log

        掃描并分析日志

    2.selinux幫助

        [root@serverX ~]# yum -y install selinux-policy-devel

        [root@serverX ~]# mandb

        [root@serverX ~]# man -k _selinux