加入收藏 | 设为首页 | 会员中心 | 我要投稿 济南站长网 (https://www.0531zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

系统管理员的SELinux指南:这个大问题的42个答案

发布时间:2018-08-22 18:50:24 所属栏目:Windows 来源:Alex Callejas
导读:副标题#e# 技术沙龙 | 8月25日与多位资深技术大咖探讨小程序电商实战 获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案 一个重要而普遍的事实是,事情并不总是你看上去的那样 ―Douglas Adams,《银河系漫游指南》 安全、坚固、遵从性、策略是末世中

SELinux 需要知道 SELinux 设置的关闭或打开的一系列布尔值:

  • 查看所有的布尔值:# getsebool -a
  • 查看每个布尔值的描述:# semanage boolean -l
  • 设置某个布尔值:# setsebool [_boolean_] [1|0]
  • 将它配置为永久值,添加 -P 标志。例如:# setsebool httpd_enable_ftp_server 1 -P
  • SELinux 策略/应用可能有 bug,包括:

    • 不寻常的代码路径
    • 配置
    • 重定向 stdout
    • 泄露的文件描述符
    • 可执行内存
    • 错误构建的库

    开一个工单(但不要提交 Bugzilla 报告;使用 Bugzilla 没有对应的服务)

  • 你的信息可能被损坏了,假如你被限制在某个区域,尝试这样做:

    • 加载内核模块
    • 关闭 SELinux 的强制模式
    • 写入 etc_t/shadow_t
    • 修改 iptables 规则
  • 用于开发策略模块的 SELinux 工具:# yum -y install setroubleshoot setroubleshoot-server。安装完成之后重引导机器或重启 auditd 服务。

  • 使用 journalctl 去列出所有与 setroubleshoot 相关的日志:# journalctl -t setroubleshoot --since=14:20

  • 使用 journalctl 去列出所有与特定 SELinux 标签相关的日志。例如:# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

  • 当 SELinux 错误发生时,使用setroubleshoot 的日志,并尝试找到某些可能的解决方法。例如:从 journalctl 中:

    1. Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
    2.  
    3. # sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
    4. SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
    5.  
    6. ***** Plugin restorecon (99.5 confidence) suggests ************************
    7.  
    8. If you want to fix the label,
    9. /var/www/html/index.html default label should be httpd_syscontent_t.
    10. Then you can restorecon.
    11. Do
    12. # /sbin/restorecon -v /var/www/html/index.html
  • 日志:SELinux 记录的信息全在这些地方:

    • /var/log/messages
    • /var/log/audit/audit.log
    • /var/lib/setroubleshoot/setroubleshoot_database.xml
  • 日志:在审计日志中查找 SELinux 错误:# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

  • 针对特定的服务,搜索 SELinux 的访问向量缓存Access Vector Cache(AVC)信息:# ausearch -m avc -c httpd

  • audit2allow 实用工具可以通过从日志中搜集有关被拒绝的操作,然后生成 SELinux 策略允许的规则,例如:

    • 产生一个人类可读的关于为什么拒绝访问的描述:# audit2allow -w -a
    • 查看允许被拒绝的类型强制规则:# audit2allow -a
    • 创建一个自定义模块:# audit2allow -a -M mypolicy,其中 -M 选项将创建一个特定名称的强制类型文件(.te),并编译这个规则到一个策略包(.pp)中:mypolicy.pp mypolicy.te
    • 安装自定义模块:# semodule -i mypolicy.pp
  • 配置单个进程(域)运行在许可模式:# semanage permissive -a httpd_t

  • 如果不再希望一个域在许可模式中:# semanage permissive -d httpd_t

  • 禁用所有的许可域:# semodule -d permissivedomains

  • 启用 SELinux MLS 策略:# yum install selinux-policy-mls。 在 /etc/selinux/config 中:

    1. SELINUX=permissive
    2. SELINUXTYPE=mls

    确保 SELinux 运行在许可模式:# setenforce 0

    使用 fixfiles 脚本来确保在下一次重启时文件将被重新标签化:# fixfiles -F onboot # reboot

  • 创建一个带有特定 MLS 范围的用户:# useradd -Z staff_u john

    使用 useradd 命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是 staff_u)。

  • 查看 SELinux 和 Linux 用户之间的映射:# semanage login -l

  • 为用户定义一个指定的范围:# semanage login --modify --range s2:c100 john

  • 调整用户家目录上的标签(如果需要的话):# chcon -R -l s2:c100 /home/john

  • 列出当前类别:# chcat -L

  • 修改类别或者创建你自己的分类,修改如下文件:/etc/selinux/_<selinuxtype>_/setrans.conf

  • (编辑:济南站长网)

    【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!