命令將文件或目錄暴露出現了安全違例,從而引起訪問權限的意外傳播。結果,由該用戶開啟的任意進程可以對屬於該用戶的文件進行任意的操作,最終壹個惡意的
或有其它缺陷的軟件可能會取得整個系統的 root 級別的訪問權限。
考慮到這些局限性,美國國家安全局(NSA) 率先設計出了
SELinux,壹種強制的訪問控制方法,它根據最小權限模型去限制進程在系統對象(如文件,目錄,網絡接口等)上的訪問或執行其他的操作的能力,而這些
限制可以在之後根據需要進行修改。簡單來說,系統的每壹個元素只給某個功能所需要的那些權限。
在 RHEL 7 中,SELinux 被並入了內核中,且默認情況下以強制模式(Enforcing)開啟。在這篇文章中,我們將簡要地介紹有關 SELinux 及其相關操作的基本概念。
SELinux 的模式
SELinux 可以以三種不同的模式運行:
強制模式(Enforcing)
:SELinux 基於其策略規則來拒絕訪問,這些規則是用以控制安全引擎的壹系列準則;
寬容模式(Permissive)
:SELinux 不會拒絕訪問,但對於那些如果運行在強制模式下會被拒絕訪問的行為進行記錄;
關閉(Disabled)
(不言自明,即 SELinux 沒有實際運行).
使用 getenforce 命令可以展示 SELinux 當前所處的模式,而 setenforce 命令(後面跟上壹個 1 或 0) 則被用來將當前模式切換到強制模式(Enforcing)或寬容模式(Permissive),但只對當前的會話有效。
為了使得在登出和重啟後上面的設置還能保持作用,妳需要編輯 /etc/selinux/config 文件並將 SELINUX 變量的值設為 enforcing,permissive,disabled 中之壹:
# getenforce# setenforce 0# getenforce# setenforce 1# getenforce# cat /etc/selinux/config
設置 SELinux 模式
通常情況下,妳應該使用 setenforce 來在 SELinux
模式間進行切換(從強制模式到寬容模式,或反之),以此來作為妳排錯的第壹步。假如 SELinux
當前被設置為強制模式,而妳遇到了某些問題,但當妳把 SELinux 切換為寬容模式後問題不再出現了,則妳可以確信妳遇到了壹個 SELinux
權限方面的問題。
SELinux 上下文
壹個 SELinux 上下文(Context)由壹個訪問控制環境所組成,在這個環境中,決定的做出將基於 SELinux 的用戶,角色和類型(和可選的級別):
壹個 SELinux 用戶是通過將壹個常規的 Linux 用戶賬戶映射到壹個 SELinux 用戶賬戶來實現的,反過來,在壹個會話中,這個 SELinux 用戶賬戶在 SELinux 上下文中被進程所使用,以便能夠明確定義它們所允許的角色和級別。
角色的概念是作為域和處於該域中的 SELinux 用戶之間的媒介,它定義了 SELinux 可以訪問到哪個進程域和哪些文件類型。這將保護您的系統免受提權漏洞的攻擊。
類型則定義了壹個 SELinux 文件類型或壹個 SELinux 進程域。在正常情況下,進程將會被禁止訪問其他進程正使用的文件,並禁止對其他進程進行訪問。這樣只有當壹個特定的 SELinux 策略規則允許它訪問時,才能夠進行訪問。
下面就讓我們看看這些概念是如何在下面的例子中起作用的。
例 1:改變 sshd 守護進程的默認端口
在 RHCSA 系列(八): 加固 SSH,設定主機名及啟用網絡服務 中,我們解釋了更改 sshd 所監聽的默認端口是加固妳的服務器免受外部攻擊的首要安全措施。下面,就讓我們編輯 /etc/ssh/sshd_config 文件並將端口設置為 9999:
Port 9999
保存更改並重啟 sshd:
# systemctl restart sshd# systemctl status sshd
重啟 SSH 服務
正如妳看到的那樣, sshd 啟動失敗,但為什麽會這樣呢?
快速檢查 /var/log/audit/audit.log 文件會發現 sshd 已經被拒絕在端口 9999 上開啟(SELinux 的日誌信息包含單詞 "AVC",所以這類信息可以被輕易地與其他信息相區分),因為這個端口是 JBoss 管理服務的保留端口:
# cat /var/log/audit/audit.log | grep AVC | tail -1
查看 SSH 日誌
在這種情況下,妳可以像先前解釋的那樣禁用 SELinux(但請不要這樣做!),並嘗試重啟 sshd,且這種方法能夠起效。但是, semanage 應用可以告訴我們在哪些端口上可以開啟 sshd 而不會出現任何問題。
運行:
# semanage port -l | grep ssh
便可以得到壹個 SELinux 允許 sshd 在哪些端口上監聽的列表:
Semanage 工具
所以讓我們在 /etc/ssh/sshd_config 中將端口更改為 9998 端口,增加這個端口到 sshportt 的上下文,然後重啟 sshd 服務:
# semanage port -a -t ssh_port_t -p tcp 9998# systemctl restart sshd# systemctl is-active sshd
semanage 添加端口
如妳所見,這次 sshd 服務被成功地開啟了。這個例子告訴我們壹個事實:SELinux 用它自己的端口類型的內部定義來控制 TCP 端口號。
例 2:允許 httpd 訪問 sendmail
這是壹個 SELinux 管理壹個進程來訪問另壹個進程的例子。假如在妳的 RHEL 7 服務器上,妳要為 Apache 配置 mod_security 和 mod_evasive,妳需要允許 httpd 訪問 sendmail,以便在遭受到 (D)DoS 攻擊時能夠用郵件來提醒妳。在下面的命令中,如果妳不想使得更改在重啟後仍然生效,請去掉 -P 選項。
# semanage boolean -1 | grep httpd_can_sendmail# setsebool -P httpd_can_sendmail 1# semanage boolean -1 | grep httpd_can_sendmail
允許 Apache 發送郵件
從上面的例子中,妳可以知道 SELinux 布爾設定(或者只是布爾值)分別對應於 true 或 false,被嵌入到了 SELinux 策略中。妳可以使用 semanage boolean -l 來列出所有的布爾值,也可以管道至 grep 命令以便篩選輸出的結果。
例 3:在壹個特定目錄而非默認目錄下提供壹個靜態站點服務
假設妳正使用壹個不同於默認目錄(/var/www/html)的目錄來提供壹個靜態站點服務,例如 /websites 目錄(這種情形會出現在當妳把妳的網絡文件存儲在壹個***享網絡設備上,並需要將它掛載在 /websites 目錄時)。
a). 在 /websites 下創建壹個 index.html 文件並包含如下的內容:
<html><h2>SELinux test</h2></html>
假如妳執行
# ls -lZ /websites/index.html
妳將會看到這個 index.html 已經被標記上了 default_t SELinux 類型,而 Apache 不能訪問這類文件:
檢查 SELinux 文件的權限
b). 將 /etc/httpd/conf/httpd.conf 中的 DocumentRoot 改為 /websites,並不要忘了 更新相應的 Directory 塊。然後重啟 Apache。
c). 瀏覽 http://<web server IP address>,則妳應該會得到壹個 503 Forbidden 的 HTTP 響應。
d). 接下來,遞歸地改變 /websites 的標誌,將它的標誌變為 httpd_sys_content_t 類型,以便賦予 Apache 對這些目錄和其內容的只讀訪問權限:
# semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?"
e). 最後,應用在 d) 中創建的 SELinux 策略:
# restorecon -R -v /websites
現在重啟 Apache 並再次瀏覽到 http://<web server IP address>,則妳可以看到被正確展現出來的 html 文件:
確認 Apache 頁面
總結
在本文中,我們詳細地介紹了 SELinux 的基礎知識。請註意,由於這個主題的廣泛性,在單篇文章中做出壹個完全詳盡的解釋是不可能的,但我們相信,在這個指南中列出的基本原則將會對妳進壹步了解更高級的話題有所幫助,假如妳想了解的話。