一.Selinux的状态及管理
 
1.selinux的开启
 
vim /etc/selinux/config
7 SELINUX=disabled #selinux关闭
7 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启
7 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启
 
“selinux开启或关闭需要重启系统”
 enforcing：
 不符合条件一定不能被允许，并会收到警告信息
 permissive：
 不符合条件被允许，并会收到警告信息
 selinux状态的查看：
 getenforce
 selinux开启后强制和警告级别的转换
 setenforce 0##警告
 setenforce 1 ##强制
 selinux日志位置：
 /var/log/audit/audit.log
 
 
二.Selinux的安全上下文
 
1.查看
 
ls -Z #查看文件的安全上下文
ls -Zd #查看目录的安全上下文
ps axZ #查看进程的安全上下文
 
 
2.修改安全上下文
 修改
 临时：
 chcon -t public_content_t /westosdir/file 修改此文件的安全上下文
 chcon -Rt public_content_t /westosdir 修改目录及目录中所有子文件的安全上下文
 touch /.autorelabel
 reboot
 
 
永久：
 semanage fcontext -l 查看内核安全上下文列表
 semanage fcontext -a -t public_content_t ‘/westosdir(/.*)?’
 restorecon -RvvF /westosdir
 touch /.autorelabel
 reboot
 
 重启后
 
 
三.SEBOOL
 
sebool：是selinux对服务功能添加的开关
 在/var/ftp/pub上传/etc/passwd
 先在配置文件配置上传 修改目录权限 目录所有组 打开selinux为enforcing
 
semanage fcontext -a -t public_content_rw_t /var/ftp/pub
restorecon -RvvF /var/ftp/pub
getsebool -a |grep ftp
setsebool -P ftpd_anon_write on
lftp 172.25.254.125
cd /pub
put /etc/passwd
 
 
四.SEPORT
 
semanage port -l | grep http
 semanage port -a -t http_port_t -p tcp 808
 
 
五.setrouble
 
/var/log/audit/audit.log selinux警告信息
 /var/log/messages selinux问题解决方案
 setroubleshoot-server 此软件功能是采集警告信息并分析得到解决方案存放到messages中
 
> /var/log/audit/audit.log
> /var/log/messages
mv xxx /var/ftp/
cat /var/log/messages
cat /var/log/audit/audit.log
 
无法看见文件1
 
 cat /var/log/messages 查看解决方案
 
 cat /var/log/audit/audit.log 查看警告信息
 
 方案1：setsebool -P ftpd_full_access on
 
 方案2：/sbin/restorecon -v /var/ftp/1
 

1. 了解selinux
 
（1）什么是selinux
 
Selinux，内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统，是linux历史上最杰出的新安全系统。对于linux安全模块来说，SElinux的功能是最全面的，测试也是最充分的，这是一种基于内核的安全系统。
 
（2）selinux的三个模式
 
Enforcing 强制(强制模式)— SELinux 策略强制执行，基于 SELinux 策略规则授予或拒绝主体对目标的访问
 Permissive 宽容(警告模式)— SELinux 策略不强制执行，不实际拒绝访问，但会有拒绝信息写入日志
 Disabled 禁用(关闭模式)— 完全禁用SELinux
 
2. selinux的开启及模式调整
 
编辑selinux的配置文件：
 
 
 
vim /etc/sysconfig/selinux
 
 
 
注意：设置后必须要重启才能生效。
 
调整模式
 
##警告模式
setenforce 0
##强制模式
setenforce 1
##状态查看
getenforce
 
 
注意：不能通过模式调整将从开启状态（警告模式或者强制模式）调整到关闭状态，要调整必须通过配置文件来修改。
 
3.修改文件安全上下文
 
（1）查看文件和目录的安全上下文
 
注意：以下实验是在selinux开启的情况下（enforcing）操作的。
 
#查看安全上下文
ls -Z	# 文件
ls -Zd	# 目录
 
 
注意：selinux要开启。
 
（2）修改安全上下文
 
#临时修改文件的安全上下文
chcon -t 安全上下文  文件
 
 
#列出内核安全上下文列表内容
semanage fcontext -l
#将目录本身及里面文件的加载到安全上下文里面
semanage fcontext -a -t public_content_t '/westos(/.*)?'
注意：真实的目录的安全上下文并没有变。（ls -Zd /westos）
要想改变目录及里面文件的安全上下文：
（1）reboot
（2）restorecon -FvvR /westos
 
 
4. selinux的bool值的设定
 
##查看文件的bool值
getsebool -a | grep 服务名称
##开启或者关闭
setsebool -P 功能bool值 on|off
 
（1）系统用户上传文件
 
上传的功能是关闭的，所以不能上传。
 
 开启功能：
 
 
 
（2）匿名用户上传文件
 
###登录lftp
lftp 172.25.254.120
	#上传文件
	put /etc/group   （会报错）
#查看bool值
getsebool -a | grep ftp
	ftpd_anon_write=off	（功能是关闭的）
##开启功能
stsebool -P  ftpd_anon_write on
注意：但是还是不能上传，原因是目录没有可写的权限
##设置安全上下文，使目录的可写权限
semanage fcontext -a -t public_content_rw_t "/var/ftp/pub(/.*)?"
##刷新
restorecon -FvvR /var/ftp/pub
 
 
5.selinux 系统排错
 
#查看selinux的报错日志
/var/log/audit/audit.log
#提供selinux的解决方法的日志
/var/log/messages
 
提供系统selinux排错的软件为：setroubleshoot-server，如果删除该软件，在messages中将不会提供解决方法。
 
 
在/var/log/messages 中寻求解决方法：
 

 
 
执行找到的帮助：
 

一.SElinux
 
1.SELinux基本概念
 
1.SELinux(Security-Enhanced Linux) ：是一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。
 
ps：selinux是工作在内核中的
 
2.selinux与linux区别
 1）linux：linux属于DAC，自主访问控制，若进程被劫持，则可通过被劫持的进程为跳板，获得启动进程的用户的所有权限。
 
2）selinux：selinux属于MAC，强制访问控制，进程被启动后，只能在设定范围内进程工作，若进程被劫持，也无法获得启动进程的用户的相关权限
 
3.SElinux的工作级别：
 1）strict：每个进程都受到selinux的控制
 
2）targeted：仅有限个进程受到selinux控制，可用于监控容易被入侵的进程
 
4.linux进程的操作：subject operation object
 1）subject：进程
 
2）object：进程或文件
 
3）operation 文件：open，read，write，close，chown，chmod
 ps：subject：domain（域），object：type（类型）
 
使用-Z选项可添加SELinux安全文本信息
[root@7 ~]# ps auxZ | grep httpd
system_u:system_r:"httpd_t":s0    root      46369  0.0  0.5 226220  5160 ?        Ss   20:41   0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache    46379  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache    46380  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache    46381  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache    46382  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache    46383  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 46388 0.0  0.0 112680 984 pts/0 S+ 20:41   0:00 grep --color=auto httpd
ls -Z添加SELinux安全文本信息
[root@7 ~]# ls -Z
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 initial-setup-ks.cfg
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 snap.tar.gz

 
5.SElinux为每个进程或文件提供了安全标签：user：role：type
 1）user：SElinux的user
 
2）role：角色
 
3）type：类型；一般需要更仅有类型
 
ps：SELinux规则库中，规定了哪种域能访问哪种或哪些种类型内的文件
 
2.配置SELinux
 
1.配置SELinux
 1）SELinux是否启用
 
2）给文件打安全标签，实现控制访问
 
3）设定某些布尔型特性，实现控制进程个各种功能
 
2.SELinux的状态：
 1）enforcing：强制状态，每个受限的进程都必然受限
 
2）permissive：启用状态，每个受限的进程违规操作不会被禁止，但会被记录于审计日志
 ps：审计日志位置/var/log/audit/audit.log
 
3）disabled：关闭状态
 
4）相关命令
 
"更改selinux状态"
1.getenforce：获取selinux当前状态
[root@7 ~]# getenforce
Enforcing
2.setenforce 0|1：指定selinux状态
[root@7 ~]# setenforce 0
[root@7 ~]# getenforce
Permissive
ps：selinux必须在启动状态下，才可使用setenforce进程更改其状态，并且使用命令更改selinux状态重启后会消失，要永久有效需要更改配置文件
3.selinux配置文件：
        1）/etc/sysconfig/selinux
        2）/etc/selinux/config
        3）更改方式：SELINUX={enforcing|disabled|permissive}
 
"给文件打安全标签"
1.相关语法：
   1) chcon [OPTION]... CONTEXT FILE...
   2) chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
   3) chcon [OPTION]... --reference=RFILE FILE...
   4）-R选项：可递归进行打安全标签
2.还原文件的默认标签：restorecon [-R] /path/to/file
 
3.布尔型规则：
 
1.getsebool：查看布尔型标签
 1）语法：getsebool [-a] [boolean]
 2）-a选项：查看所有布尔型标签 getsebool -a
查看特定布尔型标签
[root@7 ~]# getsebool  httpd_can_connect_ftp
httpd_can_connect_ftp --> off

2.setsebool：设置布尔型标签
 1）语法：setsebool [ -P ] boolean value | bool1=val1 bool2=val2 ...
 2）-P选项：保存于策略文件中，使其永久生效
[root@7 ~]# getsebool  httpd_can_connect_ftp
httpd_can_connect_ftp --> off
[root@7 ~]# setsebool httpd_can_connect_ftp on
[root@7 ~]# getsebool  httpd_can_connect_ftp
httpd_can_connect_ftp --> on
 
4.更改安全标签练习：
 1）启用httpd服务，关闭防火墙，并在其对应目录下创建文件，查看其安全标签为，httpd_sys_content_t
 
[root@7 html]# systemctl start httpd.service
[root@7 html]# systemctl stop firewalld.service 
[root@7 html]# systemctl disable firewalld.service 
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@7 ~]# cd /var/www/html/
[root@7 html]# cat test.html
testing
2019.6.2
[root@7 html]# ls -Z test.html
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 test.html
 
此时的效果
 
 2）更改其安全标签，确认selinux开启
 
[root@7 html]# chcon -t admin_home_t test.html
[root@7 html]# ls -Z test.html
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 test.html
[root@7 html]# getenforce 
Enforcing
 
此时已经无法访问http
 
 
3）关闭selinux，确认可以访问
 
[root@7 html]# setenforce 0
[root@7 html]# getenforce 
Permissive
 
可以进行访问
 
 5）恢复其默认标签
 
[root@7 html]# restorecon test.html 
[root@7 html]# ls -Z test.html 
-rw-r--r--. root root unconfined_u:object_r:"httpd_sys_content_t":s0 test.html
 
无论开启selinux与否，均可以访问
 

一、SElinux简介
 
SELinux: Secure Enhanced Linux， 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中。
 
在linux 中有两种访问方式
 
（1）DAC:discretionary Access Control 自由访问控制
（2）MAC：Mandatory Access Control 强制访问控制

DAC环境下进程是无束缚的
MAC环境下策略的规则决定控制的严格程度
MAC环境下进程可以被限制的 
 
二、SElinux工作类型
 
strict: centos5,每个进程都受到selinux的控制

targeted: 用来保护常见的网络服务,仅有限进程受到selinux控制，只监控容易被入侵的进程，centos4只保护13个服务，centos5保护88个服务

minimum：centos7,修改的targeted，只对选择的网络服务

mls:提供MLS（多级安全）机制的安全性
 
注意：targeted为默认类型，minimum和mls稳定性不足，未加以应用，strict已不再使用。 
 三、SElinux安全上下文
 
传统Linux，一切皆文件，由用户，组，权限控制访问。而在SELinux中，一切皆对象（object），由存放在inode的扩展属性域的安全元素所控制其访问。所有文件和端口资源和进程都具备安全标签：安全上下文（security context）。
 
安全上下文有五个元素组成：
 
user:role:type:sensitivity:category

User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由（unconfined）进程。

Role:定义文件，进程和用户的用途：文件:object_r，进程和用户：system_r

Type:指定数据类型，规则中定义何种进程类型访问何种文件
Target策略基于type实现,多服务共用：public_content_t

Sensitivity:限制访问的需要，由组织定义的分层安全级别，如unclassified, secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级，s0最低,Target策略默认使用s0

Category：对于特定组织划分不分层的分类，如FBI Secret，NSA secret, 一个对象可以有多个categroy， c0-c1023 共1024个分类， Target 策略不使用category
 
示例：
 
user_u:object_r:tmp_t:s0:c0
 
实际上下文：存放在文件系统中 ls –Z;ps –Z 
 期望(默认)上下文：存放在二进制的SELinux策略库（映射目录和期望安全上下文）中。semanage fcontext –l 
 四、SElinux策略
 
对象(object)：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主体(subject)

SELinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义。

当一个subject试图访问一个object，Kernel中的策略执行服务器将检查AVC (访问矢量缓存Access Vector Cache), 在AVC中，subject和object的权限被缓存(cached)，查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的，并且定义了哪种行为是充许或拒绝
 
（1）SElinux状态：
 
enforcing: 强制，每个受限的进程都必然受限

permissive: 允许，每个受限的进程违规操作不会被禁止，但会被记录于审计日志

disabled: 禁用修改为此必须重新重启才能生效，是基于内核机制的。
 
通常使用ls -l查看文件时最后又一个“.”说明启用SElinux功能。 
 注意：cp会继承原文件的标签，而mv不会继承原文件标签。 
 五、配置SElinux 
 （1）命令 
 查看SElinux命令
 
getenforce ：获取selinux当前状态
sestatus：查看selinux状态
setenforce：设置selinux
    0：设置为permissive
    1：设置为enforcing
 
（2）配置文件
 
/boot/grub/grub.conf可以在启动配置文件中修改。
/etc/selinux/config-->/etc/sysconfig/selinux  在配置文件中修改。
 
（3）修改标签 
 chcon ：change file SELinux security context 
 格式：
 
chcon [OPTION]... CONTEXT FILE...
chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
chcon [OPTION]... --reference=RFILE FILE...
    -R：递归打标签
    -t 修改文件或目录标签类型
 
示例：
 
[root@centos7~]#chcon -t user_home_t linux-3.17-rc1.tar.xz 
 
restorecon：restore file(s) default SELinux security contexts 
 示例：
 
[root@centos7~]#restorecon linux-3.17-rc1.tar.xz 
 
（4）默认安全上下文查询与修改 
 （a）semanage依赖包policycoreutils-python 
 查看默认的安全上下文
 
semanage fcontext -l
 
添加安全上下文
 
semanage fcontext -a -t  CONTEXT /PATH/TO/SOMEFILE
 
示例：
 
semanage -fcontext -a -t httpd_sys_content_t‘/testdir(/.*)?’
 
删除安全上下文
 
semanage fconftext -d -t CONTEXT /PATH/TO/SOMEFILE
 
示例：
 
semanage fcontext   -d –t httpd_sys_content_t '/testdir(/.*)?'
 
（b）SElinux端口标签
 
查看端口标签 
 
semanage port –l
 
添加端口
 
semanage port -a -t port_label -p tcp|udp PORT 
 
示例：
 
semanage port -a -t http_port_t -p tcp 9527
 
删除端口
 
semanage port -d -t port_label -p tcp|udp PORT 
 
示例：
 
semanage port -d -t http_port_t -p tcp 9527
 
修改现有端口为新标签 
 
semanage port -m -t port_label -p tcp|udp PORT
 
示例：
 
semanage port -m -t http_port_t -p tcp 9527
 
（c）SElinux布尔型
 
布尔型规则：
 
 getsebool 
 setsebool
 
查看bool命令：
 
getsebool [-a] [boolean] 
semanage boolean –l 列出所有bool值

semanage boolean -l –C 查看修改过的布尔值
 
设置bool值命令： 
 
setsebool [-P] boolean value（on,off）

setsebool [-P（永久）] Boolean=value（0，1）
 
注意：bool配合某个服务一起使用的  
 示例：
 
[root@centos7~]#setsebool -P zoneminder_run_sudo=0
[root@centos7~]#semanage boolean -l -C
SELinux boolean                State  Default   Description

zoneminder_run_sudo            (off  ,  off)  Allow zoneminder to run sudo
 
（5）SElinux日志管理
 
yum install setroubleshoot（重启生效）安装此包将错误的信息写入/var/log/message

grep setroubleshoot /var/log/messages

sealert  -l UUID  字符界面使用
sealert  图形界面调用警报
 
查看安全事件日志说明
 
 sealert  -a /var/log/audit/audit.log
 
扫描并分析日志 
 （6）SElinux帮助
 
yum –y install selinux-policy-devel ( centos7.2)
yum –y install selinux-policy-doc
mandb | makewhatis
man -k _selinux
 
练习：
 
1、启用SELinux策略并安装httpd服务，改变网站的默认主目录为/website,添加SELinux文件标签规则，使网站可访问
 
[root@localhost~]#chcon -t httpd_sys_content_t /website  -R #修改标签
[root@localhost~]#ll -Z /website/www/
-rw-r--r--. root root unconfined_u:object_r:usr_home_t:s0 index.html
 
访问网页： 
 
 
2、修改上述网站的http端口为9527，增加SELinux端口标签，使网站可访问 
 修改配置文件以后，重新刷新网页不能打开 
 
 
[root@localhost~]#semanage port -a -t http_port_t -p tcp 8080
 
3、启用相关的SELinux布尔值，使上述网站的用户student的家目录可通过http访问
 
[root@localhost~]#setsebool -P httpd_read_user_content=1
[root@localhost~]#semanage boolean -l  -C
 
4、编写脚本selinux.sh，实现开启或禁用SELinux功能