赞
踩
注:本文图片来自鸟哥私房菜基础篇第四版截图,
在centOS7.x中经常遇到给足权限,但是进程依旧提示权限不够的问题,前几天用rsyslog管理远程日志的时候就是这样,后来发现在cenOS7.x后系统还有一个selinux的进程在对进程读取文件的过程做权限监管,selinux是什么呢?
[百度百科解释:]SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。 [1]
selinux采用控制主体[subject,可以理解为进程]是否能操作目标[object,可以理解为文件],是否能够操作控制的依据就是这两者间的策略,但是由于进程与文件数量庞大,因此selinux会依据某些服务来定制基本的存取安全性策略,这些策略内还会有详细的规则(rule)来指定不同的服务开放某些资源是否可以读取。centos7中只提供了3中策略:
targeted:针对网络服务较多,针对本机限制较少,预设的策略
minimum:由targeted修订而来,针对选着的进程来保护
mls:完整的selinux限制,限制方面非常严格
除了主体与目标的策略外,还要保证两者之间的安全性文本一致。
进程的安全性文本在内存中,而文件的则保存到了inode中了, 所以进程读取文件时需要先获取文件的inode。
查看文件安全性文本:
[root@localhost log]# ls -Zdl ../log/
drwxr-xr-x. 2 unconfined_u:object_r:home_root_t:s0 root root 6 5月 30 16:51 ../log/
安全性文本为: unconfined_u:object_r:home_root_t:s0
分别是:Identify:role:type
身份:角色:类型
身份识别:相当于账号方面的身份识别,主要的身份识别有:
unconfined_u:不受限的用户,也就是, 该文件来自不受限的进程产生,一般来时,我们使用登录账号获取bash后,预设的bash环境是不受限selinux管制的,因为bash并不是什么特别的网络服务,所有这个不受selinux管制,所有它产生的文件也是unconfied_u
system_u:系统用户,大部分就是系统自己产生的文件
角色:透过角色字段,我们可以知道这个资源是属于进程,文件还是代表使用者,一般角色有:
object_r:代表文件或目录等文件资源
system_r:代表进程,一般使用者也会被指定为system_r
类型:其实比对安全性文本,最重要的就是类型,其他两个基本不重要。type在进程中叫domain,在文件中叫Type
进程中的domain需要和文件中的Type搭配才能进行文件的读取
进程安全文本查询:
[root@localhost log]# ps -eZ | grep rsys
system_u:system_r:syslogd_t:s0 22048 ? 00:00:02 rsyslogd
安全文本:system_u:system_r:syslogd_t:s0
selinux的三种模式:如上图描述
Disabled:关闭,不会进行检查
Permissive:警告模式:表示检查,但是如果出现不匹配只是警告
enforcing:强制:检查匹配,默认
查看模式:
[root@localhost log]# getenforce
Enforcing
默认强制模式
查看selinux状态:
sestatus [-vb]
-v:检查列于/etc/sestatus.conf内的文件与进程的安全性文本内容
-b:将目前策略的规则boolean列出,
[root@localhost log]# sets
setsebool setserial setsid
[root@localhost log]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
模式调整:
setenforce [0|1]
0宽容模式
1强制模式
查看系统规则是启用:
[root@localhost log]# getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
auditadm_exec_content --> on
authlogin_nsswitch_use_ldap --> off
authlogin_radius --> off
authlogin_yubikey --> off
awstats_purge_apache_log_files
....
练习:将系统日志更换到/home/log/message中
1.查看进程安全性文本
[root@localhost log]# ps -eZ | grep rsyslog
system_u:system_r:syslogd_t:s0 25015 ? 00:00:00 rsyslogd
知道domain : syslogd_t
2.查看/home/log安全性文本
[root@localhost log]# ls -lZd /home/log/
drwxr-xr-x. root root unconfined_u:object_r:user_home_dir_t:s0 /home/log/
知道了Type: user_home_dir_t
3.查看主体syslogd_t 是否能与目标 user_home_dir_t 匹配
[root@localhost log]# sesearch -A -s syslogd_t | grep user_home_dir_t
allow syslogd_t user_home_dir_t : dir { getattr search open } ;
allow syslogd_t user_home_dir_t : lnk_file { read getattr } ;
从中知道是能进行匹配的, 但是只能读取文件, 不能写文件, 还是不能解决我们的问题
4.这个时候需要找到syslogd_t能匹配运行写文件的目标Type, 可以使用sesearch -A -s syslogd_t | grep write查询的方式,也可以直接使用/var/log/message的Type,这里直接使用/var/log/message的Type
5.更改Type
[root@localhost log]# chcon -R -v -t var_log_t /home/log/
正在更改"/home/log/" 的安全环境
6.验证:
[root@localhost log]# ls -Zld /home/log/
drwxr-xr-x. 2 unconfined_u:object_r:var_log_t:s0 root root 6 5月 30 19:15 /home/log/
[root@localhost log]# cd /home/log/
[root@localhost log]# ls
[root@localhost log]# systemctl restart rsyslog.service
[root@localhost log]# ls
message
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。