20191224-第十二次上課http3、dnsselinux

1、SELinux（安全增強型Linux）是可保護你系統(tǒng)安全性的額外機制。看作與標準權(quán)限系統(tǒng)并行的權(quán)限系統(tǒng)，在常規(guī)權(quán)限模式中， 以用戶身份運行進程，并且系統(tǒng)上的文件和其他資源都設(shè) 置了權(quán)限標簽。SELinux增加了一個并行權(quán)限集合，其中每個進程通過SELinux安全性上下文運行，系統(tǒng)上的文件和其他資源也都設(shè)置了安全性上下文標簽。與普通權(quán)限不同在于可配置的SELinux策略控制哪些進程上下文可以訪問哪些文件上下文。RedHat提供了一個大多數(shù)用戶使用的默認策略。 SELinux另一個不同在于，如要訪問文件，你必須 同時具有普通訪問權(quán)限和SELinux訪問權(quán)限。因此， 即使用root身份運行進程，根據(jù)

2、進程以及文件或資 源的SELinux安全性上下文可能拒絕訪問文件或資 源 未打開SELinux的普通系統(tǒng)的示例（運行Apache web服務器） 打開SELinux的普通系統(tǒng)的示例（運行Apache web服務器） 默認情況下，SELinux策略拒絕所有訪問，除非策略中包含的規(guī)則允許特定進程上下文訪問特定文件和資源上下文。 Web服務器的httpd進程設(shè)置了SELinux上下文system_u:system_r:httpd_t 標簽。該上下文的重要部分是冒號分開的第三個字段類型：httpd_t 系統(tǒng)上的文件和資源也設(shè)置了SELinux上下文標簽， 并且重要的部分是SELinux類型。例如：/v

3、ar/www/html 中的文件具有類型httpd_sys_content_t。/tmp和/var/tmp中的文件通常具有類型tmp_t SELinux策略具有允許以httpd_t 身份運行的進程訪問標記為 httpd_sys_content_t 的文件的規(guī)則。沒有規(guī)則允許這些進程訪問標記有tmp_t 的文件， 因此將拒絕這些訪問，即使常規(guī)文件權(quán)限允許這些訪問 SELinux的目標之一，保護用戶數(shù)據(jù)免受已泄漏的系統(tǒng)服務的威脅，甚至包括root賬戶。 SELinux具有特殊類型 unconfined_t，可忽略所有SELinux限制。 以root身份登錄系統(tǒng)，通常以unconfined_t身份運

4、行，同時允許忽略所有常規(guī)權(quán)限。使用id命令可以查看root shell的當前上下文。當root運行程序時， 根據(jù)程序的可執(zhí)行文件標記的類型，可以在限制更多的上下文中來啟動程序/etc/selinux/config enforce強制模式permissive許可模式disabled禁用模式 強制模式中， SELinux主動拒絕訪問嘗試讀取類型上下文為tmp_t 的文件的web服務器。在強制模式中， SELinux既記錄沖突，也強制執(zhí)行規(guī)則 許可模式通常用于對問題進行故障排除。在此模式中，即使沒有明確規(guī)則， SELinux也允許所有交互，并記錄所有被拒絕的交互。用來判斷SELinux是否有問題。無

5、需重啟可在強制和許可模式間切換。 禁用模式，完全禁用SELinux。必須重啟生效。1:顯示和修改SELinux模式 在引導時，使用/etc/sysconfig/selinux 更改默認SELinux 模式。 如要顯示當前SELinux 模式，請使用 getenforce。如要修改當前SELinux 模式，請使用setenforce。setenforce0setenforce 12:顯示和修改 SELinux 文件上下文。 許多處理文件的命令具有一個用于顯示或設(shè)置SELinux 上下文的選項（通常是 -Z）。 例如，ps，ls，cp 和 mkdir 都使用 -Z 選項顯示或設(shè)置 SELinux

6、上下文。# ps axZ# service httpd start # ps -ZC httpd# ls -Z /home# ls -Z /var/www3:什么確定文件的初始SELinux 上下文呢？ 通常是父目錄。將父目錄的上下文指定給新創(chuàng)建的文件。 這對vim，cp 和touch 等命令起作用，但是，如果文件是在其他位置創(chuàng)建的并且保留了權(quán)限（與mv，或cp -a 一樣），則還保留SELinux 上下文。# ls -Zd /var/www/html/# touch /var/www/html/index.html # ls -Zd /var/www/html/index.html4: se

7、manage fcontext 可 用 于 顯 示 或 修 改 ， restorecon 用來設(shè)置默認文件上下文的規(guī)則。它使用擴展正則表達式來指定路徑和文件名。 fcontext 規(guī)則中最常用的擴展正則表達式是（/.*）?，表示隨意地匹配/后跟任何數(shù)量的字符。本質(zhì)上，它將遞歸地與表達式前面列出的目錄以及該目錄中的所有內(nèi)容相匹配。5:restorecon 是 policycoreutil 軟件包的一部分， semanage 是 policycoreutil-python 軟件包的一部分。# touch /tmp/file1 /tmp/file2 # ls -Z /tmp/file*# mv /t

8、mp/file1 /var/www/html # cp /tmp/file2 /var/www/html # ls -Z /var/www/html/file*# semanage fcontext -l# restorecon -Rv /var/www/ # ls -Z /var/www/html/file*6:使用semanage 針對新目錄添加上下文。# mkdir /virtual# touch /virtual/index.html # ls -Zd /virtual/# ls -Z /virtual/# semanage fcontext -a -f -t httpd_sys_co

9、ntent_t /virtual(/.*)?#restorecon RFvv /virtual # ls -Zd /virtual/# ls -Z /virtual/7:使用chcon來設(shè)置上下文chcon -t httpd_sys_content_t目錄或文件遞歸chcon-tR1：selinux設(shè)置成許可模式2：開啟samba做共享，客戶端要測試通過3：selinux設(shè)置成強制模式，客戶端重新訪問4：將共享目錄改成777，客戶端重新訪問5：修改共享目錄的安全上下文，客戶端重新訪問samba_share_t1:安裝setroubleshoot-server 軟件包2: /var/log/audit/audit.log SELinux 布爾值是更改SELinux 策略行為的開關(guān)。 SELinux 布爾值是可以啟用或禁用的規(guī)則。 安全管理員可以使用SELinux 布爾值來調(diào)整策略， 以有選擇地進行調(diào)整。許多軟件包都具有man page*_selinux(8)，其中詳細 說 明 了 所 使 用 的 一 些 布 爾 值 ；man -k _selinux可以輕松地找到這些手冊。 getsebool 用于顯示布爾值，setsebool用于修改布爾值。 setsebool -P 修