获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案
“一个重要而普遍的事实是,事情并不总是你看上去的那样 …” ―Douglas Adams,《银河系漫游指南》
安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 —— 监控、备份、实施、调优、更新等等 —— 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 Ethan Hunt[1] 的工作一样。
面对这种窘境,一些系统管理员决定去服用蓝色小药丸[2],因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道,它的答案就是这个 42[3]。
按《银河系漫游指南》的精神,这里是关于在你的系统上管理和使用 SELinux[4] 这个大问题的 42 个答案。
user:role:type:level
(可选)。
autorelabel=1
→ 强制给系统重新标签化
selinux=0
→ 内核不加载 SELinux 基础设施的任何部分
enforcing=0
→ 以
许可模式启动
# touch /.autorelabel
# reboot
如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用许可模式引导系统。
# getenforce
# setenforce [1|0]
# sestatus
/etc/selinux/config
/usr/sbin/httpd
→
httpd_exec_t
/etc/httpd
→
httpd_config_t
/var/log/httpd
→
httpd_log_t
/var/www/html
→
httpd_sys_content_t
/usr/lib/systemd/system/httpd.service
→
httpd_unit_file_d
/usr/sbin/httpd -DFOREGROUND
→
httpd_t
80/tcp, 443/tcp
→
httpd_t, http_port_t
在 httpd_t
安全上下文中运行的一个进程可以与具有 httpd_something_t
标签的对象交互。
-Z
参数去查看、创建、和修改安全上下文:
ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z
当文件被创建时,它们的安全上下文会根据它们父目录的安全上下文来创建(可能有某些例外)。RPM 可以在安装过程中设定安全上下文。
/srv/myweb
中你的文件没有被正确的标签化,访问可能会被拒绝。这里有一些修复这类问题的方法:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
# semanage fcontext -a -e /srv/myweb /var/www
# restorecon -vR /srv/myweb
# chcon -t httpd_system_content_t /var/www/html/index.html
# chcon --reference /var/www/html/ /var/www/html/index.html
# restorecon -vR /var/www/html/
# semanage port -a -t http_port_t -p tcp 8585
# setsebool -P httpd_can_sendmail 1
# getsebool -a
# semanage boolean -l
# setsebool [_boolean_] [1|0]
-P
标志。例如:
# setsebool httpd_enable_ftp_server 1 -P
stdout
开一个工单(但不要提交 Bugzilla 报告;使用 Bugzilla 没有对应的服务)
etc_t/shadow_t
# yum -y install setroubleshoot setroubleshoot-server
。安装完成之后重引导机器或重启
auditd
服务。
journalctl
去列出所有与
setroubleshoot
相关的日志:
# journalctl -t setroubleshoot --since=14:20
journalctl
去列出所有与特定 SELinux 标签相关的日志。例如:
# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
setroubleshoot
的日志,并尝试找到某些可能的解决方法。例如:从
journalctl
中:
Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
***** Plugin restorecon (99.5 confidence) suggests ************************
If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html
/var/log/messages
/var/log/audit/audit.log
/var/lib/setroubleshoot/setroubleshoot_database.xml
# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
# ausearch -m avc -c httpd
audit2allow
实用工具可以通过从日志中搜集有关被拒绝的操作,然后生成 SELinux 策略允许的规则,例如:
# audit2allow -w -a
# audit2allow -a
# audit2allow -a -M mypolicy
,其中
-M
选项将创建一个特定名称的强制类型文件(.te),并编译这个规则到一个策略包(.pp)中:
mypolicy.pp mypolicy.te
# semodule -i mypolicy.pp
# semanage permissive -a httpd_t
# semanage permissive -d httpd_t
# semodule -d permissivedomains
# yum install selinux-policy-mls
。 在
/etc/selinux/config
中:
SELINUX=permissive
SELINUXTYPE=mls
确保 SELinux 运行在许可模式:# setenforce 0
使用 fixfiles
脚本来确保在下一次重启时文件将被重新标签化:# fixfiles -F onboot # reboot
# useradd -Z staff_u john
使用 useradd
命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是 staff_u
)。
# semanage login -l
# semanage login --modify --range s2:c100 john
# chcon -R -l s2:c100 /home/john
# chcat -L
/etc/selinux/_<selinuxtype>_/setrans.conf
# runcon -t initrc_t -r system_r -u user_u yourcommandhere
-t
是文件安全上下文
-r
是角色安全上下文
-u
是用户安全上下文
# podman run --security-opt label=disable ...
# docker run --security-opt label=disable ...
# podman run --privileged ...
# docker run --privileged ...
就这些了,你已经知道了答案。因此请相信我:不用恐慌,去打开 SELinux 吧。
作者简介
Alex Callejas 是位于墨西哥城的红帽公司拉丁美洲区的一名技术客服经理。作为一名系统管理员,他已有超过 10 年的经验。在基础设施强化方面具有很强的专业知识。对开源抱有热情,通过在不同的公共事件和大学中分享他的知识来支持社区。天生的极客,当然他一般选择使用 Fedora Linux 发行版。[这里][11]有更多关于他的信息。
via: https://opensource.com/article/18/7/sysadmin-guide-selinux
作者:Alex Callejas[6] 选题:lujun9972 译者:qhwdw, FSSlc 校对:wxy
本文由 LCTT 原创编译,Linux中国 荣誉推出