系统管理员的 SELinux 指南:这个大问题的 42 个答案 | Linux 中国

2018 年 8 月 9 日 Linux中国
获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案
-- Alex Callejas

致谢
编译自 | 
https://opensource.com/article/18/7/sysadmin-guide-selinux
 
 作者 | Alex Callejas
 译者 | qhwdw 共计翻译:144 篇 贡献时间:281 天 
 译者 | Chang Liu (FSSlc) 共计翻译:66 篇 贡献时间:1290 天

获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案

“一个重要而普遍的事实是,事情并不总是你看上去的那样 …” ―Douglas Adams,《银河系漫游指南》

安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 —— 监控、备份、实施、调优、更新等等 —— 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 Ethan Hunt[1] 的工作一样。

面对这种窘境,一些系统管理员决定去服用蓝色小药丸[2],因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道,它的答案就是这个 42[3]

按《银河系漫游指南》的精神,这里是关于在你的系统上管理和使用 SELinux[4] 这个大问题的 42 个答案。

☉ SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。
☉ 两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。
☉ 正确的标签格式是  user:role:type:level(可选)。
☉  多级别安全Multi-Level Security(MLS)强制的目的是基于它们所使用数据的安全级别,对进程(域)强制实施控制。比如,一个秘密级别的进程是不能读取极机密级别的数据。
☉  多类别安全Multi-Category Security(MCS)强制相互保护相似的进程(如虚拟机、OpenShift gears、SELinux 沙盒、容器等等)。
☉ 在启动时改变 SELinux 模式的内核参数有:
◈  autorelabel=1 → 强制给系统重新标签化
◈  selinux=0 → 内核不加载 SELinux 基础设施的任何部分
◈  enforcing=0 → 以 许可permissive模式启动
☉  如果给整个系统重新标签化:
     
     
       
  1. # touch /.autorelabel

  2. # reboot

如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用许可模式引导系统。

☉  检查 SELinux 是否启用: # getenforce
☉  临时启用/禁用 SELinux: # setenforce [1|0]
☉  SELinux 状态工具: # sestatus
☉  配置文件: /etc/selinux/config
☉  SELinux 是如何工作的?这是一个为 Apache Web Server 标签化的示例:
◈ 二进制文件: /usr/sbin/httpdhttpd_exec_t
◈ 配置文件目录: /etc/httpdhttpd_config_t
◈ 日志文件目录: /var/log/httpd →  httpd_log_t
◈ 内容目录: /var/www/html →  httpd_sys_content_t
◈ 启动脚本: /usr/lib/systemd/system/httpd.service →  httpd_unit_file_d
◈ 进程: /usr/sbin/httpd -DFOREGROUND →  httpd_t
◈ 端口: 80/tcp, 443/tcp →  httpd_t, http_port_t

在 httpd_t 安全上下文中运行的一个进程可以与具有 httpd_something_t 标签的对象交互。

☉  许多命令都可以接收一个  -Z  参数去查看、创建、和修改安全上下文:
◈  ls -Z
◈  id -Z
◈  ps -Z
◈  netstat -Z
◈  cp -Z
◈  mkdir -Z

当文件被创建时,它们的安全上下文会根据它们父目录的安全上下文来创建(可能有某些例外)。RPM 可以在安装过程中设定安全上下文。

☉  这里有导致 SELinux 出错的四个关键原因,它们将在下面的 15 - 21 条中展开描述:
◈ 标签化问题
◈ SELinux 需要知道一些东西
◈ SELinux 策略或者应用有 bug
◈ 你的信息可能被损坏
☉  标签化问题:如果在  /srv/myweb  中你的文件没有被正确的标签化,访问可能会被拒绝。这里有一些修复这类问题的方法:
◈ 如果你知道标签: # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
◈ 如果你知道和它有相同标签的文件: # semanage fcontext -a -e /srv/myweb /var/www
◈ 恢复安全上下文(对于以上两种情况): # restorecon -vR /srv/myweb
☉  标签化问题:如果你是移动了一个文件,而不是去复制它,那么这个文件将保持原始的环境。修复这类问题:
◈ 使用标签来改变安全上下文: # chcon -t httpd_system_content_t /var/www/html/index.html
◈ 使用参考文件的标签来改变安全上下文: # chcon --reference /var/www/html/ /var/www/html/index.html
◈ 恢复安全上下文(对于以上两种情况): # restorecon -vR /var/www/html/
☉  如果 SELinux 需要知道 HTTPD 在 8585 端口上监听,使用下列命令告诉 SELinux: # semanage port -a -t http_port_t -p tcp 8585
☉  SELinux 需要知道是否允许在运行时改变 SELinux 策略部分,而无需重写 SELinux 策略。例如,如果希望 httpd 去发送邮件,输入: # setsebool -P httpd_can_sendmail 1
☉  SELinux 需要知道 SELinux 设置的关闭或打开的一系列布尔值:
◈ 查看所有的布尔值: # getsebool -a
◈ 查看每个布尔值的描述: # semanage boolean -l
◈ 设置某个布尔值: # setsebool [_boolean_] [1|0]
◈ 将它配置为永久值,添加  -P 标志。例如: # setsebool httpd_enable_ftp_server 1 -P
☉  SELinux 策略/应用可能有 bug,包括:
◈ 不寻常的代码路径
◈ 配置
◈ 重定向  stdout
◈ 泄露的文件描述符
◈ 可执行内存
◈ 错误构建的库

开一个工单(但不要提交 Bugzilla 报告;使用 Bugzilla 没有对应的服务)

☉  你的信息可能被损坏了,假如你被限制在某个区域,尝试这样做:
◈ 加载内核模块
◈ 关闭 SELinux 的强制模式
◈ 写入  etc_t/shadow_t
◈ 修改 iptables 规则
☉  用于开发策略模块的 SELinux 工具: # yum -y install setroubleshoot setroubleshoot-server 。安装完成之后重引导机器或重启  auditd  服务。
☉  使用  journalctl  去列出所有与  setroubleshoot  相关的日志: # journalctl -t setroubleshoot --since=14:20
☉  使用  journalctl  去列出所有与特定 SELinux 标签相关的日志。例如: # journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
☉  当 SELinux 错误发生时,使用 setroubleshoot  的日志,并尝试找到某些可能的解决方法。例如:从  journalctl  中:
     
     
       
  1. Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

  2. # sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

  3. SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

  4. ***** Plugin restorecon (99.5 confidence) suggests ************************

  5. If you want to fix the label,

  6. /var/www/html/index.html default label should be httpd_syscontent_t.

  7. Then you can restorecon.

  8. Do

  9. # /sbin/restorecon -v /var/www/html/index.html

☉  日志:SELinux 记录的信息全在这些地方:
◈  /var/log/messages
◈  /var/log/audit/audit.log
◈  /var/lib/setroubleshoot/setroubleshoot_database.xml
☉  日志:在审计日志中查找 SELinux 错误: # ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
☉  针对特定的服务,搜索 SELinux 的 访问向量缓存Access Vector Cache (AVC)信息: # ausearch -m avc -c httpd
☉  audit2allow  实用工具可以通过从日志中搜集有关被拒绝的操作,然后生成 SELinux 策略允许的规则,例如:
◈ 产生一个人类可读的关于为什么拒绝访问的描述: # audit2allow -w -a
◈ 查看允许被拒绝的类型强制规则: # audit2allow -a
◈ 创建一个自定义模块: # audit2allow -a -M mypolicy,其中  -M 选项将创建一个特定名称的强制类型文件(.te),并编译这个规则到一个策略包(.pp)中: mypolicy.pp mypolicy.te
◈ 安装自定义模块: # semodule -i mypolicy.pp
☉  配置单个进程(域)运行在许可模式: # semanage permissive -a httpd_t
☉  如果不再希望一个域在许可模式中: # semanage permissive -d httpd_t
☉  禁用所有的许可域: # semodule -d permissivedomains
☉  启用 SELinux MLS 策略: # yum install selinux-policy-mls 。 在  /etc/selinux/config  中:
     
     
       
  1. SELINUX=permissive

  2. SELINUXTYPE=mls

确保 SELinux 运行在许可模式:# setenforce 0

使用 fixfiles 脚本来确保在下一次重启时文件将被重新标签化:# fixfiles -F onboot # reboot

☉  创建一个带有特定 MLS 范围的用户: # useradd -Z staff_u john

使用 useradd 命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是 staff_u)。

☉  查看 SELinux 和 Linux 用户之间的映射: # semanage login -l
☉  为用户定义一个指定的范围: # semanage login --modify --range s2:c100 john
☉  调整用户家目录上的标签(如果需要的话): # chcon -R -l s2:c100 /home/john
☉  列出当前类别: # chcat -L
☉  修改类别或者创建你自己的分类,修改如下文件: /etc/selinux/_<selinuxtype>_/setrans.conf
☉  以某个特定的文件、角色和用户安全上下文来运行一个命令或者脚本: # runcon -t initrc_t -r system_r -u user_u yourcommandhere
◈  -t 是文件安全上下文
◈  -r 是角色安全上下文
◈  -u 是用户安全上下文
☉  在容器中禁用 SELinux:
◈ 使用 Podman: # podman run --security-opt label=disable ...
◈ 使用 Docker: # docker run --security-opt label=disable ...
☉  如果需要给容器提供完全访问系统的权限:
◈ 使用 Podman: # podman run --privileged ...
◈ 使用 Docker: # docker run --privileged ...

就这些了,你已经知道了答案。因此请相信我:不用恐慌,去打开 SELinux 吧

作者简介

Alex Callejas 是位于墨西哥城的红帽公司拉丁美洲区的一名技术客服经理。作为一名系统管理员,他已有超过 10 年的经验。在基础设施强化方面具有很强的专业知识。对开源抱有热情,通过在不同的公共事件和大学中分享他的知识来支持社区。天生的极客,当然他一般选择使用 Fedora Linux 发行版。[这里][11]有更多关于他的信息。


via: https://opensource.com/article/18/7/sysadmin-guide-selinux

作者:Alex Callejas[6] 选题:lujun9972 译者:qhwdwFSSlc 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出


登录查看更多
0

相关内容

Security-Enhanced Linux (SELinux) is an implementation of a mandatory access control mechanism in the Linux kernel, checking for allowed operations after standard discretionary access controls are checked. It was created by the National Security Agency and can enforce rules on files and processes in a Linux system, and on their actions, based on defined policy.
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
算法与数据结构Python,369页pdf
专知会员服务
162+阅读 · 2020年3月4日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
Python 3.8.0来了!
数据派THU
5+阅读 · 2019年10月22日
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
深度解析机器学习系统的八大坑
AI100
4+阅读 · 2019年3月2日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
如何解决自然语言处理中 90% 的问题
AI研习社
4+阅读 · 2018年2月15日
如何运用Python建一个聊天机器人?
七月在线实验室
17+阅读 · 2018年1月23日
10个深度学习软件的安装指南(附代码)
数据派THU
17+阅读 · 2017年11月18日
【机器学习】推荐13个机器学习框架
产业智能官
8+阅读 · 2017年9月10日
Arxiv
35+阅读 · 2019年11月7日
Seeing What a GAN Cannot Generate
Arxiv
8+阅读 · 2019年10月24日
Arxiv
3+阅读 · 2018年11月12日
Exploring Visual Relationship for Image Captioning
Arxiv
15+阅读 · 2018年9月19日
VIP会员
相关VIP内容
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
Python导论,476页pdf,现代Python计算
专知会员服务
260+阅读 · 2020年5月17日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
算法与数据结构Python,369页pdf
专知会员服务
162+阅读 · 2020年3月4日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
相关资讯
Python 3.8.0来了!
数据派THU
5+阅读 · 2019年10月22日
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
深度解析机器学习系统的八大坑
AI100
4+阅读 · 2019年3月2日
34个最优秀好用的Python开源框架
专知
9+阅读 · 2019年3月1日
如何解决自然语言处理中 90% 的问题
AI研习社
4+阅读 · 2018年2月15日
如何运用Python建一个聊天机器人?
七月在线实验室
17+阅读 · 2018年1月23日
10个深度学习软件的安装指南(附代码)
数据派THU
17+阅读 · 2017年11月18日
【机器学习】推荐13个机器学习框架
产业智能官
8+阅读 · 2017年9月10日
Top
微信扫码咨询专知VIP会员