11 KiB
系统管理员的 SELinux 指南:这个大问题的 42 个答案
"一个重要而普遍的事实是,事情并不总是你看上去的那样 …" ―Douglas Adams,银河系漫游指南
安全、坚固、遵从性、策略 —— 系统管理员启示录的四骑士。除了我们的日常任务之外 —— 监视、备份、实施、调优、更新等等 —— 我们还负责我们的系统安全。甚至是那些第三方提供给我们的禁用了安全增强的系统。这看起来像《碟中碟》中 Ethan Hunt 的工作一样。
面对这种窘境,一些系统管理员决定去服用蓝色小药丸,因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道,它的答案就是这 42 个。
按《银河系漫游指南》的精神,这里是关于在你的系统上管理和使用 SELinux 这个大问题的 42 个答案。
-
SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化进程和标签化对象之间的访问。由内核强制执行这些规则。
-
两个最重要的概念是:标签化(文件、进程、端口等等)和强制类型(它将基于类型对每个进程进行隔离)。
-
正确的标签格式是
user:role:type:level(可选)。 -
多级别安全(MLS)的目的是基于它们所使用数据的安全级别,对进程(域)强制实施控制。比如,一个秘密级别的进程是不能读取极机密级别的数据。
-
多类别安全(MCS)从每个其它类(如虚拟机、OpenShift gears、SELinux 沙盒、容器等等)中强制保护类似的进程。
-
在引导时内核参数可以改变 SELinux 模式: *
autorelabel=1→ 强制给系统标签化 *selinux=0→ 内核不加载 SELinux 基础设施的任何部分 *enforcing=0→ 引导为 permissive 模式 -
如果给整个系统标签化:
# touch /.autorelabel #reboot如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用 permissive 模式引导系统。 -
检查 SELinux 是否启用:
# getenforce -
临时启用/禁用 SELinux:
# setenforce [1|0] -
SELinux 状态工具:
# sestatus -
配置文件:
/etc/selinux/config -
SELinux 是如何工作的?这是一个为 Apache Web Server 标签化的示例: * 二进制文件:
/usr/sbin/httpd→httpd_exec_t* 配置文件目录:/etc/httpd→httpd_config_t* 日志文件目录:/var/log/httpd→httpd_log_t* 内容目录:/var/www/html→httpd_sys_content_t* 启动脚本:/usr/lib/systemd/system/httpd.service→httpd_unit_file_d* 进程:/usr/sbin/httpd -DFOREGROUND→httpd_t* 端口:80/tcp, 443/tcp→httpd_t, http_port_t
在 httpd_t 环境中运行的一个进程可以与具有 httpd_something_t 标签的对象交互。
- 许多命令都可以接收一个
-Z参数去查看、创建、和修改环境: *ls -Z*id -Z*ps -Z*netstat -Z*cp -Z*mkdir -Z
当文件基于它们的父级目录的环境(有一些例外)创建后,它的环境就已经被设置。RPM 包可以在安装时设置环境。
14. 这里有导致 SELinux 出错的四个关键原因,它们将在下面的 15 - 21 号问题中展开描述:
* 标签化问题
* SELinux 需要知道一些东西
* 在一个 SELinux 策略/app 中有 bug
* 你的信息可能被损坏
-
标签化问题:如果在
/srv/myweb中你的文件没有正确的标签,访问可能会被拒绝。这里有一些修复这类问题的方法: * 如果你知道标签:# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'* 如果你知道使用等价标签的文件:# semanage fcontext -a -e /srv/myweb /var/www* 恢复环境(对于以上两种情况):# restorecon -vR /srv/myweb -
标签化问题:如果你是移动了一个文件,而不是去复制它,那么这个文件将保持原始的环境。修复这类问题: * 用标签改变环境的命令:
# chcon -t httpd_system_content_t /var/www/html/index.html
* 用引用标签改变环境的命令:
`# chcon --reference /var/www/html/ /var/www/html/index.html`
* 恢复环境(对于以上两种情况):
`# restorecon -vR /var/www/html/`
-
如果 SELinux 需要知道 HTTPD 是在 8585 端口上监听,告诉 SELinux:
# semanage port -a -t http_port_t -p tcp 8585 -
SELinux 需要知道是否允许在运行时无需重写 SELinux 策略而改变 SELinux 策略部分的布尔值。例如,如果希望 httpd 去发送邮件,输入:
# setsebool -P httpd_can_sendmail 1 -
SELinux 需要知道 SELinux 设置的 off/on 的布尔值: * 查看所有的布尔值:
# getsebool -a* 查看每个布尔值的描述:# semanage boolean -l* 设置布尔值:# setsebool [_boolean_] [1|0]* 将它配置为永久值,添加-P标志。例如:# setsebool httpd_enable_ftp_server 1 -P -
SELinux 策略/apps 可能有 bug,包括: * 与众不同的代码路径 * 配置 * 重定向
stdout* 文件描述符漏洞 * 可运行内存 * 错误构建的库打开了一个 ticket(不要提交 Bugzilla 报告;这里没有使用 Bugzilla 的 SLAs) -
如果你定义了域,你的信息可能被损坏: * 加载内核模块 * 关闭 SELinux 的强制模式 * 写入
etc_t/shadow_t* 修改 iptables 规则 -
开发策略模块的 SELinux 工具:
# yum -y install setroubleshoot setroubleshoot-server安装完成之后重引导机器或重启auditd服务。 -
使用
journalctl去列出所有与setroubleshoot相关的日志:# journalctl -t setroubleshoot --since=14:20 -
使用
journalctl去列出所有与特定 SELinux 标签相关的日志。例如:# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0 -
当 SELinux 发生错误以及建议一些可能的解决方案时,使用
setroubleshoot日志。例如:从journalctl中: [code] Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
***** Plugin restorecon (99.5 confidence) suggests ************************
If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html
-
日志:SELinux 记录的信息全部在这些地方: *
/var/log/messages*/var/log/audit/audit.log*/var/lib/setroubleshoot/setroubleshoot_database.xml -
日志:在审计日志中查找 SELinux 错误:
# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today -
为特定的服务去搜索 SELinux 的访问向量缓存(AVC)信息:
# ausearch -m avc -c httpd -
audit2allow实用工具从拒绝的操作的日志中采集信息,然后生成 SELinux policy-allow 规则。例如: * 产生一个人类可读的关于为什么拒绝访问的描述:# audit2allow -w -a* 查看已允许的拒绝访问的强制类型规则:# audit2allow -a* 创建一个自定义模块:# audit2allow -a -M mypolicy-M选项使用一个指定的名字去创建一个类型强制文件(.te)并编译这个规则到一个策略包(.pp)中:mypolicy.pp mypolicy.te* 安装自定义模块:# semodule -i mypolicy.pp -
配置单个进程(域)运行在 permissive 模式:
# semanage permissive -a httpd_t -
如果不再希望一个域在 permissive 模式中:
# semanage permissive -d httpd_t -
禁用所有的 permissive 域:
# semodule -d permissivedomains -
启用 SELinux MLS 策略:
# yum install selinux-policy-mls在/etc/selinux/config中:SELINUX=permissiveSELINUXTYPE=mls确保 SELinux 运行在 permissive 模式:# setenforce 0使用fixfiles脚本去确保那个文件在下次重引导后重打标签:# fixfiles -F onboot # reboot -
使用一个特定的 MLS 范围创建用户:
# useradd -Z staff_u john使用useradd命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是staff_u)。 -
查看 SELinux 和 Linux 用户之间的映射:
# semanage login -l -
为用户定义一个指定的范围:
# semanage login --modify --range s2:c100 john -
调整用户 home 目录上的标签(如果需要的话):
# chcon -R -l s2:c100 /home/john -
列出当前分类:
# chcat -L -
修改分类或者开始去创建你自己的分类、修改文件:
/etc/selinux/_<selinuxtype>_/setrans.conf -
在指定的文件、角色、和用户环境中运行一个命令或脚本:
# runcon -t initrc_t -r system_r -u user_u yourcommandhere*-t是文件环境 *-r是角色环境 *-u是用户环境 -
在容器中禁用 SELinux: * 使用 Podman:
# podman run --security-opt label=disable… * 使用 Docker:# docker run --security-opt label=disable… -
如果需要给容器提供完全访问系统的权限: * 使用 Podman:
# podman run --privileged… * 使用 Docker:# docker run --privileged…
就这些了,你已经知道了答案。因此请相信我:不用恐慌,去打开 SELinux 吧。
via: https://opensource.com/article/18/7/sysadmin-guide-selinux
作者:Alex Callejas 选题:lujun9972 译者:qhwdw 校对:校对者ID