RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制

在本系列的前面几篇文章中,我们已经详细地探索了至少两种访问控制方法:标准的 ugo/rwx 权限(RHCSA 系列(三): 如何管理 RHEL7 的用户和组) 和访问控制列表(RHCSA 系列(七): 使用 ACL(访问控制列表) 和挂载 Samba/NFS 共享)。

RHCSA 认证:SELinux 精要和控制文件系统的访问

尽管作为第一级别的权限和访问控制机制是必要的,但它们同样有一些局限,而这些局限则可以由安全增强 LinuxSecurity Enhanced Linux,简称为 SELinux来处理。

这些局限的一种情形是:某个用户可能通过一个泛泛的 chmod 命令将文件或目录暴露出现了安全违例,从而引起访问权限的意外传播。结果,由该用户开启的任意进程可以对属于该用户的文件进行任意的操作,最终一个恶意的或有其它缺陷的软件可能会取得整个系统的 root 级别的访问权限。

考虑到这些局限性,美国国家安全局(NSA) 率先设计出了 SELinux,一种强制的访问控制方法,它根据最小权限模型去限制进程在系统对象(如文件,目录,网络接口等)上的访问或执行其他的操作的能力,而这些限制可以在之后根据需要进行修改。简单来说,系统的每一个元素只给某个功能所需要的那些权限。

在 RHEL 7 中,SELinux 被并入了内核中,且默认情况下以强制模式Enforcing开启。在这篇文章中,我们将简要地介绍有关 SELinux 及其相关操作的基本概念。

SELinux 的模式

SELinux 可以以三种不同的模式运行:

  • 强制模式Enforcing:SELinux 基于其策略规则来拒绝访问,这些规则是用以控制安全引擎的一系列准则;
  • 宽容模式Permissive:SELinux 不会拒绝访问,但对于那些如果运行在强制模式下会被拒绝访问的行为进行记录;
  • 关闭Disabled (不言自明,即 SELinux 没有实际运行).

使用 getenforce 命令可以展示 SELinux 当前所处的模式,而 setenforce 命令(后面跟上一个 1 或 0) 则被用来将当前模式切换到强制模式Enforcing或宽容模式Permissive,但只对当前的会话有效。

为了使得在登出和重启后上面的设置还能保持作用,你需要编辑 /etc/selinux/config 文件并将 SELINUX 变量的值设为 enforcing,permissive,disabled 中之一:



    

  1. # getenforce
    2. 

  2. # setenforce 0
    3. 

  3. # getenforce
    4. 

  4. # setenforce 1
    5. 

  5. # getenforce
    6. 

  6. # cat /etc/selinux/config
    7. 





设置 SELinux 模式


通常情况下,你应该使用 setenforce 来在 SELinux 模式间进行切换(从强制模式到宽容模式,或反之),以此来作为你排错的第一步。假如 SELinux 当前被设置为强制模式,而你遇到了某些问题,但当你把 SELinux 切换为宽容模式后问题不再出现了,则你可以确信你遇到了一个 SELinux 权限方面的问题。


SELinux 上下文


一个 SELinux 上下文Context由一个访问控制环境所组成,在这个环境中,决定的做出将基于 SELinux 的用户,角色和类型(和可选的级别):


    

  • 一个 SELinux 用户是通过将一个常规的 Linux 用户账户映射到一个 SELinux 用户账户来实现的,反过来,在一个会话中,这个 SELinux 用户账户在 SELinux 上下文中被进程所使用,以便能够明确定义它们所允许的角色和级别。
    • 

  • 角色的概念是作为域和处于该域中的 SELinux 用户之间的媒介,它定义了 SELinux 可以访问到哪个进程域和哪些文件类型。这将保护您的系统免受提权漏洞的攻击。
    • 

  • 类型则定义了一个 SELinux 文件类型或一个 SELinux 进程域。在正常情况下,进程将会被禁止访问其他进程正使用的文件,并禁止对其他进程进行访问。这样只有当一个特定的 SELinux 策略规则允许它访问时,才能够进行访问。
    • 



下面就让我们看看这些概念是如何在下面的例子中起作用的。


例 1:改变 sshd 守护进程的默认端口


在 RHCSA 系列(八): 加固 SSH,设定主机名及启用网络服务 中,我们解释了更改 sshd 所监听的默认端口是加固你的服务器免受外部攻击的首要安全措施。下面,就让我们编辑 /etc/ssh/sshd_config 文件并将端口设置为 9999:




    

  1. Port 9999
    2. 



保存更改并重启 sshd:




    

  1. # systemctl restart sshd
    2. 

  2. # systemctl status sshd
    3. 





重启 SSH 服务


正如你看到的那样, sshd 启动失败,但为什么会这样呢?


快速检查 /var/log/audit/audit.log 文件会发现 sshd 已经被拒绝在端口 9999 上开启(SELinux 的日志信息包含单词 "AVC",所以这类信息可以被轻易地与其他信息相区分),因为这个端口是 JBoss 管理服务的保留端口:




    

  1. # cat /var/log/audit/audit.log | grep AVC | tail -1
    2. 





查看 SSH 日志


在这种情况下,你可以像先前解释的那样禁用 SELinux(但请不要这样做!),并尝试重启 sshd,且这种方法能够起效。但是, semanage 应用可以告诉我们在哪些端口上可以开启 sshd 而不会出现任何问题。


运行:




    

  1. # semanage port -l | grep ssh
    2. 



便可以得到一个 SELinux 允许 sshd 在哪些端口上监听的列表:




Semanage 工具


所以让我们在 /etc/ssh/sshd_config 中将端口更改为 9998 端口,增加这个端口到 sshportt 的上下文,然后重启 sshd 服务:




    

  1. # semanage port -a -t ssh_port_t -p tcp 9998
    2. 

  2. # systemctl restart sshd
    3. 

  3. # systemctl is-active sshd
    4. 





semanage 添加端口


如你所见,这次 sshd 服务被成功地开启了。这个例子告诉我们一个事实:SELinux 用它自己的端口类型的内部定义来控制 TCP 端口号。


例 2:允许 httpd 访问 sendmail


这是一个 SELinux 管理一个进程来访问另一个进程的例子。假如在你的 RHEL 7 服务器上,你要为 Apache 配置 mod_security 和 mod_evasive,你需要允许 httpd 访问 sendmail,以便在遭受到 (D)DoS 攻击时能够用邮件来提醒你。在下面的命令中,如果你不想使得更改在重启后仍然生效,请去掉 -P 选项。




    

  1. # semanage boolean -1 | grep httpd_can_sendmail
    2. 

  2. # setsebool -P httpd_can_sendmail 1
    3. 

  3. # semanage boolean -1 | grep httpd_can_sendmail
    4. 





允许 Apache 发送邮件


从上面的例子中,你可以知道 SELinux 布尔设定(或者只是布尔值)分别对应于 true 或 false,被嵌入到了 SELinux 策略中。你可以使用 semanage boolean -l 来列出所有的布尔值,也可以管道至 grep 命令以便筛选输出的结果。


例 3:在一个特定目录而非默认目录下提供一个静态站点服务


假设你正使用一个不同于默认目录(/var/www/html)的目录来提供一个静态站点服务,例如 /websites 目录(这种情形会出现在当你把你的网络文件存储在一个共享网络设备上,并需要将它挂载在 /websites 目录时)。


a). 在 /websites 下创建一个 index.html 文件并包含如下的内容:




    

  1. <html>
    2. 

  2. <h2>SELinux test</h2>
    3. 

  3. </html>
    4. 



假如你执行




    

  1. # ls -lZ /websites/index.html
    2. 



你将会看到这个 index.html 已经被标记上了 default_t SELinux 类型,而 Apache 不能访问这类文件:




检查 SELinux 文件的权限


b). 将 /etc/httpd/conf/httpd.conf 中的 DocumentRoot 改为 /websites,并不要忘了 更新相应的 Directory 块。然后重启 Apache。


c). 浏览 http://<web server IP address>,则你应该会得到一个 503 Forbidden 的 HTTP 响应。


d). 接下来,递归地改变 /websites 的标志,将它的标志变为 httpd_sys_content_t 类型,以便赋予 Apache 对这些目录和其内容的只读访问权限:




    

  1. # semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?"
    2. 



e). 最后,应用在 d) 中创建的 SELinux 策略:




    

  1. # restorecon -R -v /websites
    2. 



现在重启 Apache 并再次浏览到 http://<web server IP address>,则你可以看到被正确展现出来的 html 文件:




确认 Apache 页面


总结


在本文中,我们详细地介绍了 SELinux 的基础知识。请注意,由于这个主题的广泛性,在单篇文章中做出一个完全详尽的解释是不可能的,但我们相信,在这个指南中列出的基本原则将会对你进一步了解更高级的话题有所帮助,假如你想了解的话。


假如可以,请让我推荐两个必要的资源来入门 SELinux:NSA SELinux 页面 和 针对用户和系统管理员的 RHEL 7 SELinux 指南。本文来自合作伙伴“Linux中国”,原文发布日期:2015-10-03   
				


				
时间: 2024-09-13 12:04:47

		
		


		


	

	
	

		


		
RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制的相关文章


								

		

			

                RHCSA 系列(五): RHEL7 中的进程管理:开机,关机
			

		

		

									

				我们将概括和简要地复习从你按开机按钮来打开你的 RHEL 7 服务器到呈现出命令行界面的登录屏幕之间所发生的所有事情,以此来作为这篇文章的开始. Linux 开机过程 请注意: 相同的基本原则也可以应用到其他的 Linux 发行版本中,但可能需要较小的更改,并且 下面的描述并不是旨在给出开机过程的一个详尽的解释,而只是介绍一些基础的东西 Linux 开机过程 初始化 POST(加电自检)并执行硬件检查: 当 POST 完成后,系统的控制权将移交给启动管理器的第一阶段first stage,它存储			

		

	

				

		

			

                RHCSA 系列(一): 回顾基础命令及系统文档
			

		

		

									

				RHCSA (红帽认证系统工程师) 是由 RedHat 公司举行的认证考试,这家公司给商业公司提供开源操作系统和软件,除此之外,还为这些企业和机构提供支持.训练以及咨询服务等. RHCSA 考试准备指南 RHCSA 考试(考试编号 EX200)通过后可以获取由 RedHat 公司颁发的证书. RHCSA 考试是 RHCT(红帽认证技师)的升级版,而且 RHCSA 必须在新的 Red Hat Enterprise Linux(红帽企业版)下完成.RHCT 和 RHCSA 的主要变化就是 RHCT			

		

	

				

		

			

                FreeBSD 5.0中强制访问控制机制的使用与源代码分析(2)
			

		

		

									

				本文主要讲述FreeBSD 5.0操作系统中新增的重要安全机制,即强制访问控制机制(MAC)的使用与源代码分析,主要包括强制访问控制框架及多级安全(MLS)策略两部分内容.这一部分较系统地对MAC框架及MLS策略的源代码进行分析. 2 MAC框架与MLS策略源代码分析 与本文相关的源代码文件主要有两个,即 /usr/src/sys/kern/kern_mac.c 和 /usr/src/sys/security/mac_mls/mac_mls.c .另外还有一些头文件如mac.h.mac_poli			

		

	

				

		

			

                RHCSA 系列(十四): 在 RHEL 7 中设置基于 LDAP 的认证
			

		

		

									

				在这篇文章中,我们将首先罗列一些 LDAP 的基础知识(它是什么,它被用于何处以及为什么会被这样使用),然后向你展示如何使用 RHEL 7 系统来设置一个 LDAP 服务器以及配置一个客户端来使用它达到认证的目的. RHCSA 系列:设置 LDAP 服务器及客户端认证 – Part 14 正如你将看到的那样,关于认证,还存在其他可能的应用场景,但在这篇指南中,我们将只关注基于 LDAP 的认证.另外,请记住,由于这个话题的广泛性,在这里我们将只涵盖它的基础知识,但你可以参考位于总结部分中列出的文			

		

	

				

		

			

                RHCE 系列(五):如何在 RHEL 7 中管理系统日志(配置、轮换以及导入到数据库)
			

		

		

									

				为了确保你的 RHEL 7 系统安全,你需要通过查看日志文件来监控系统中发生的所有活动.这样,你就可以检测到任何不正常或有潜在破坏的活动并进行系统故障排除或者其它恰当的操作. RHCE 考试 - 第五部分:使用 Rsyslog 和 Logrotate 管理系统日志 在 RHEL 7 中,rsyslogd 守护进程负责系统日志,它从 /etc/rsyslog.conf(该文件指定所有系统日志的默认路径)和 /etc/rsyslog.d 中的所有文件(如果有的话)读取配置信息. Rsyslogd 配			

		

	

				

		

			

                RHCSA 系列(七): 使用 ACL(访问控制列表) 和挂载 Samba/NFS 共享
			

		

		

									

				在上一篇文章(RHCSA 系列(六))中,我们解释了如何使用 parted 和 ssm 来设置和配置本地系统存储. RHCSA 系列: 配置 ACL 及挂载 NFS/Samba 共享 – Part 7 我们也讨论了如何创建和在系统启动时使用一个密码来挂载加密的卷.另外,我们告诫过你要避免在挂载的文件系统上执行危险的存储管理操作.记住了这点后,现在,我们将回顾在 RHEL 7 中最常使用的文件系统格式,然后将涵盖有关手动或自动挂载.使用和卸载网络文件系统(CIFS 和 NFS)的话题以及在你的操作			

		

	

				

		

			

                RHCSA 系列(四): 编辑文本文件及分析文本
			

		

		

									

				作为系统管理员的日常职责的一部分,每个系统管理员都必须处理文本文件,这包括编辑已有文件(大多可能是配置文件),或创建新的文件.有这样一个说法,假如你想在 Linux 世界中挑起一场圣战,你可以询问系统管理员们,什么是他们最喜爱的编辑器以及为什么.在这篇文章中,我们并不打算那样做,但我们将向你呈现一些技巧,这些技巧对使用两款在 RHEL 7 中最为常用的文本编辑器: nano(由于其简单和易用,特别是对于新手来说)和 vi/m(由于其自身的几个特色使得它不仅仅是一个简单的编辑器)来说都大有裨益.我			

		

	

				

		

			

                RHCSA 系列(十五): 虚拟化基础和使用 KVM 进行虚拟机管理
			

		

		

									

				假如你在词典中查一下单词 "虚拟化virtualize",你将会发现它的意思是 "创造某些事物的一个虚拟物(而非真实的)".在计算机行业中,术语虚拟化virtualization指的是:在相同的物理(硬件)系统上,同时运行多个操作系统,且这几个系统相互隔离的可能性,而那个硬件在虚拟化架构中被称作宿主机host. RHCSA 系列: 虚拟化基础和使用 KVM 进行虚拟机管理 – Part 15 通过使用虚拟机监视器(也被称为虚拟机管理程序hypervisor),虚拟机			

		

	

				

		

			

                RHCSA 系列(十一): 使用 firewalld 和 iptables 来控制网络流量
			

		

		

									

				简单来说,防火墙就是一个基于一系列预先定义的规则(例如流量包的目的地或来源,流量的类型等)的安全系统,它控制着一个网络中的流入和流出流量. RHCSA: 使用 FirewallD 和 Iptables 来控制网络流量 – Part 11 在本文中,我们将回顾 firewalld 和 iptables 的基础知识.前者是 RHEL 7 中的默认动态防火墙守护进程,而后者则是针对 Linux 的传统的防火墙服务,大多数的系统和网络管理员都非常熟悉它,并且在 RHEL 7 中也可以用. Firewal