9月2日 SELINUX

1、相关命令和配置文件

[root@centos6 ~]#sestatus  ---查看seliux的状态
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          permissive
Policy version:                 24
Policy from config file:        targeted
[root@centos6 ~]#getenforce   ---查看当前状态
Permissive
[root@centos6 ~]#setenforce 0  ---禁用selinux
[root@centos6 ~]#getenforce
Permissive
[root@centos6 ~]#setenforce 1  ---启用selinux
[root@centos6 ~]#getenforce
Enforcing
配置文件:
/boot/grub/grub.conf  ---可以在这个文件中禁用
使用selinux=0禁用SELinux
/etc/selinux/config   ---也可以在这个文件中禁用或启用

2、selinux安全上下文

所有文件和端口资源和进程都具备安全标签,也被称为安全上下文(security context),存放在inode节点表里的扩展属性
安全上下文有五个元素组成:
user:role:type:sensitivity:category
User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程
Role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r
Type:指定数据类型,规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用:public_content_t
Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0
Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy,c0-c1023共1024个分类,Target 策略不使用category

[root@centos6 app]#ll -Z   ---可以显示文件的扩展属性,也就是安全
标签,文件的权限后面有个点,表示有selinux策略,表示有安全标签
-rwxr-xr-x. root root unconfined_u:object_r:file_t:s0  copycmd.sh
-rw-------. root root unconfined_u:object_r:default_t:s0 f1.nPle
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 ff
-rw-r--r--. root root system_u:object_r:default_t:s0   fstab
-rw-------. root root system_u:object_r:default_t:s0   grub.conf
-rwxr-xr-x. root root system_u:object_r:default_t:s0   init
[root@centos6 app]#ps auxZ ---显示进程的安全标签
LABEL                           USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
system_u:system_r:init_t:s0     root          1  0.0  0.1  19364  1536 ?        Ss   10:56   0:01 /sbin/init
[root@centos6 app]#ll -Z /var/log/messages  ---显示文件的安全标签
-rw-------. root root system_u:object_r:var_log_t:s0   /var/log/messages
[root@centos6 app]#semanage fcontext -l |grep "/var/log/messages"   
 ---查看系统期望的安全上下文,发现实际和期望的是一样的
系统期望的安全上下文存放在二进制的SELinux策略库中
/var/log/messages[^/]*                             all files          system_u:object_r:var_log_t:s0 
[root@centos6 app]#cp -a /var/log/messages .  ---把这个文件备份到当前目录
[root@centos6 app]#ll -Z messages   ---我们发现安全上下文没有发生变化
-rw-------. root root system_u:object_r:var_log_t:s0   messages
[root@centos6 app]#cp /var/log/messages ./messages1f   ---但不
加-a选项时,我们发现安全上下文发生改变了,说明cp的时候会改变
安全上下文
[root@centos6 app]#ll -Z messages1f
-rw-------. root root unconfined_u:object_r:default_t:s0 messages1f
如果安全上下文件发生改变,不是系统期望的安全上下文时,有些进
程就可能访问不了这个文件,造成服务发生故障。
[root@centos6 app]#mv messages1f /root   
[root@centos6 app]#cd 
[root@centos6 ~]#ls
anaconda-ks.cfg  install.log  install.log.syslog  messages1f  nohup.out
[root@centos6 ~]#ll -Z messages1f   ---移动是安全上下文没有发生改变
-rw-------. root root unconfined_u:object_r:default_t:s0 messages1f

3、修改文件的安全标签

[root@centos6 app]#semanage fcontext -l |grep "/var/log/messages"    ---期望的安全上下文标签
/var/log/messages[^/]*                             all files          system_u:object_r:var_log_t:s0 
[root@centos6 app]#ll -Z messages ---目前的安全标签
-rw-------. root root unconfined_u:object_r:default_t:s0 messages
[root@centos6 app]#chcon -u system_u: -t var_log_t messages 
chcon: failed to set user security context component to `system_u:': Invalid argument
[root@centos6 app]#chcon -u system_u -t var_log_t messages ---修改安全标签
[root@centos6 app]#ll -Z messages 
-rw-------. root root system_u:object_r:var_log_t:s0   messages
[root@centos6 app]#semanage fcontext -a -t default_t '/app(/.*)?'
表示对于/app这个目录或者这个目录下文件,把 default_t这个安全标
签添加到SELinux策略数据库中,此时这个标签就是这个目录或者这
个目录下文件的期望安全上下文。(/.*)?表示/后面加任意字符串,可
有可无,就是说对于/app这个目录或者这个目录下的文件设置期望的
安全上下文
[root@centos6 app]#restorecon -Rv /app   ---将这个目录和这个目录
下的所有文件和恢复为期望的安全上下文 -R 是递归,v是显示过程
[root@centos6 app]#semanage fcontext -l |grep "/app"   ---查看期望的安全上下文
/usr/lib/oracle/xe/apps(/.*)?                      all files          system_u:object_r:bin_t:s0 
/usr/share/rhn/rhn_applet/applet\.py               regular file       system_u:object_r:bin_t:s0 
/usr/share/system-config-printer/applet\.py        regular file       system_u:object_r:bin_t:s0 
/app(/.*)?                                         all files          system_u:object_r:default_t:s0 
[root@centos6 app]#semanage fcontext -d -t default_t '/app(/.*)?'  ---从SELinux策略数据库中删除安全上下文
[root@centos6 app]#semanage fcontext -l |grep "/app"
/usr/lib/oracle/xe/apps(/.*)?                      all files          system_u:object_r:bin_t:s0 
/usr/share/rhn/rhn_applet/applet\.py               regular file       system_u:object_r:bin_t:s0 
/usr/share/system-config-printer/applet\.py        regular file       system_u:object_r:bin_t:s0 

4、修改端口的安全标签

查看端口标签
semanage port –l
添加端口
semanage port -a -t port_label -p tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
删除端口
semanage port -d -t port_label -p tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
修改现有端口为新标签
semanage port -m -t port_label -p tcp|udp PORT
semanage port -m -t http_port_t -p tcp9527
举例
[root@centos6 app]#semanage port -a -t http_port_t -p tcp 9527
[root@centos6 app]#semanage port -l|grep "http"
http_cache_port_t              tcp      3128, 8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      9527, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989

5、SELinux布尔值

布尔型规则:
getsebool
setsebool
查看bool命令:
getsebool[-a] [boolean]
semanageboolean–l
semanageboolean-l –C 查看修改过的布尔值
设置bool值命令:
setsebool[-P] booleanvalue(on,off)
setsebool[-P] Boolean=value(0,1)
举例

[root@centos6 app]#getsebool -a |grep ftp  ---查看布尔值
allow_ftpd_anon_write --> off   ---允许ftp匿名写
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_use_fusefs --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_use_cifs --> off
tftp_use_nfs --> off
[root@centos6 app]#setsebool allow_ftpd_anon_write on   ---修改布尔值,加上-p
选项就是永久修改,不然开启重启就失效了
[root@centos6 app]#getsebool -a |grep ftp
allow_ftpd_anon_write --> on
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_use_fusefs --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_use_cifs --> off
tftp_use_nfs --> off
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,634评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,951评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,427评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,770评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,835评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,799评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,768评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,544评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,979评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,271评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,427评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,121评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,756评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,375评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,579评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,410评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,315评论 2 352

推荐阅读更多精彩内容