微信号:linux-cn

介绍:『Linux 中国』信息矩阵旗舰号:每日为 Linux 及开源爱好者推送 Linux 相关技术、运维与研发、开源资讯等方面的精选内容;提供 Linux 命令帮助、技术文章检索等功能.

系统管理员的 SELinux 指南:这个大问题的 42 个答案 |

2018-08-09 12:07 LCTT
获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案
-- Alex Callejas

致谢
编译自 | 
https://opensource.com/article/18/7/sysadmin-guide-selinux
 
 作者 | Alex Callejas
 译者 | qhwdw 共计翻译:144 篇 贡献时间:281 天 
 译者 | Chang Liu (FSSlc) 共计翻译:66 篇 贡献时间:1290 天

获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案

“一个重要而普遍的事实是,事情并不总是你看上去的那样 …” ―Douglas Adams,《银河系漫游指南》

安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 —— 监控、备份、实施、调优、更新等等 —— 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 Ethan Hunt[1] 的工作一样。

面对这种窘境,一些系统管理员决定去服用蓝色小药丸[2],因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道,它的答案就是这个 42[3]

按《银河系漫游指南》的精神,这里是关于在你的系统上管理和使用 SELinux[4] 这个大问题的 42 个答案。

☉ SELinux 是一个标签系统,这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。
☉ 两个最重要的概念是:标签化(文件、进程、端口等等)和类型强制(基于不同的类型隔离不同的的进程)。
☉ 正确的标签格式是  user:role:type:level(可选)。
☉  多级别安全Multi-Level Security(MLS)强制的目的是基于它们所使用数据的安全级别,对进程(域)强制实施控制。比如,一个秘密级别的进程是不能读取极机密级别的数据。
☉  多类别安全Multi-Category Security(MCS)强制相互保护相似的进程(如虚拟机、OpenShift gears、SELinux 沙盒、容器等等)。
☉ 在启动时改变 SELinux 模式的内核参数有:
◈  autorelabel=1 → 强制给系统重新标签化
◈  selinux=0 → 内核不加载 SELinux 基础设施的任何部分
◈  enforcing=0 → 以 许可permissive模式启动
☉  如果给整个系统重新标签化:
    
              
  1. # touch /.autorelabel

  2. # reboot

如果系统标签中有大量的错误,为了能够让 autorelabel 成功,你可以用许可模式引导系统。

☉  检查 SELinux 是否启用: # getenforce
☉  临时启用/禁用 SELinux: # setenforce [1|0]
☉  SELinux 状态工具: # sestatus
☉  配置文件: /etc/selinux/config
☉  SELinux 是如何工作的?这是一个为 Apache Web Server 标签化的示例:
◈ 二进制文件: /usr/sbin/httpdhttpd_exec_t
◈ 配置文件目录: /etc/httpdhttpd_config_t
◈ 日志文件目录: /var/log/httpd →  httpd_log_t
◈ 内容目录: /var/www/html →  httpd_sys_content_t
◈ 启动脚本: /usr/lib/systemd/system/httpd.service →  httpd_unit_file_d
◈ 进程: /usr/sbin/httpd -DFOREGROUND →  httpd_t
◈ 端口: 80/tcp, 443/tcp →  httpd_t, http_port_t

在 httpd_t 安全上下文中运行的一个进程可以与具有 httpd_something_t 标签的对象交互。

☉  许多命令都可以接收一个  -Z  参数去查看、创建、和修改安全上下文:
◈  ls -Z
◈  id -Z
◈  ps -Z
◈  netstat -Z
◈  cp -Z
◈  mkdir -Z

当文件被创建时,它们的安全上下文会根据它们父目录的安全上下文来创建(可能有某些例外)。RPM 可以在安装过程中设定安全上下文。

☉  这里有导致 SELinux 出错的四个关键原因,它们将在下面的 15 - 21 条中展开描述:
◈ 标签化问题
◈ SELinux 需要知道一些东西
◈ SELinux 策略或者应用有 bug
◈ 你的信息可能被损坏
☉  标签化问题:如果在  /srv/myweb  中你的文件没有被正确的标签化,访问可能会被拒绝。这里有一些修复这类问题的方法:
◈ 如果你知道标签: # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
◈ 如果你知道和它有相同标签的文件: # semanage fcontext -a -e /srv/myweb /var/www
◈ 恢复安全上下文(对于以上两种情况): # restorecon -vR /srv/myweb
☉  标签化问题:如果你是移动了一个文件,而不是去复制它,那么这个文件将保持原始的环境。修复这类问题:
◈ 使用标签来改变安全上下文: # chcon -t httpd_system_content_t /var/www/html/index.html
◈ 使用参考文件的标签来改变安全上下文: # chcon --reference /var/www/html/ /var/www/html/index.html
◈ 恢复安全上下文(对于以上两种情况): # restorecon -vR /var/www/html/
☉  如果 SELinux 需要知道 HTTPD 在 8585 端口上监听,使用下列命令告诉 SELinux: # semanage port -a -t http_port_t -p tcp 8585
☉  SELinux 需要知道是否允许在运行时改变 SELinux 策略部分,而无需重写 SELinux 策略。例如,如果希望 httpd 去发送邮件,输入: # setsebool -P httpd_can_sendmail 1
☉  SELinux 需要知道 SELinux 设置的关闭或打开的一系列布尔值:
◈ 查看所有的布尔值: # getsebool -a
◈ 查看每个布尔值的描述: # semanage boolean -l
◈ 设置某个布尔值: # setsebool [_boolean_] [1|0]
◈ 将它配置为永久值,添加  -P 标志。例如: # setsebool httpd_enable_ftp_server 1 -P
☉  SELinux 策略/应用可能有 bug,包括:
◈ 不寻常的代码路径
◈ 配置
◈ 重定向  stdout
◈ 泄露的文件描述符
◈ 可执行内存
◈ 错误构建的库

开一个工单(但不要提交 Bugzilla 报告;使用 Bugzilla 没有对应的服务)

☉  你的信息可能被损坏了,假如你被限制在某个区域,尝试这样做:
◈ 加载内核模块
◈ 关闭 SELinux 的强制模式
◈ 写入  etc_t/shadow_t
◈ 修改 iptables 规则
☉  用于开发策略模块的 SELinux 工具: # yum -y install setroubleshoot setroubleshoot-server 。安装完成之后重引导机器或重启  auditd  服务。
☉  使用  journalctl  去列出所有与  setroubleshoot  相关的日志: # journalctl -t setroubleshoot --since=14:20
☉  使用  journalctl  去列出所有与特定 SELinux 标签相关的日志。例如: # journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
☉  当 SELinux 错误发生时,使用 setroubleshoot  的日志,并尝试找到某些可能的解决方法。例如:从  journalctl  中:
    
              
  1. Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

  2. # sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

  3. SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

  4. ***** Plugin restorecon (99.5 confidence) suggests ************************

  5. If you want to fix the label,

  6. /var/www/html/index.html default label should be httpd_syscontent_t.

  7. Then you can restorecon.

  8. Do

  9. # /sbin/restorecon -v /var/www/html/index.html

☉  日志:SELinux 记录的信息全在这些地方:
◈  /var/log/messages
◈  /var/log/audit/audit.log
◈  /var/lib/setroubleshoot/setroubleshoot_database.xml
☉  日志:在审计日志中查找 SELinux 错误: # ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
☉  针对特定的服务,搜索 SELinux 的 访问向量缓存Access Vector Cache (AVC)信息: # ausearch -m avc -c httpd
☉  audit2allow  实用工具可以通过从日志中搜集有关被拒绝的操作,然后生成 SELinux 策略允许的规则,例如:
◈ 产生一个人类可读的关于为什么拒绝访问的描述: # audit2allow -w -a
◈ 查看允许被拒绝的类型强制规则: # audit2allow -a
◈ 创建一个自定义模块: # audit2allow -a -M mypolicy,其中  -M 选项将创建一个特定名称的强制类型文件(.te),并编译这个规则到一个策略包(.pp)中: mypolicy.pp mypolicy.te
◈ 安装自定义模块: # semodule -i mypolicy.pp
☉  配置单个进程(域)运行在许可模式: # semanage permissive -a httpd_t
☉  如果不再希望一个域在许可模式中: # semanage permissive -d httpd_t
☉  禁用所有的许可域: # semodule -d permissivedomains
☉  启用 SELinux MLS 策略: # yum install selinux-policy-mls 。 在  /etc/selinux/config  中:
    
              
  1. SELINUX=permissive

  2. SELINUXTYPE=mls

确保 SELinux 运行在许可模式:# setenforce 0

使用 fixfiles 脚本来确保在下一次重启时文件将被重新标签化:# fixfiles -F onboot # reboot

☉  创建一个带有特定 MLS 范围的用户: # useradd -Z staff_u john

使用 useradd 命令,映射新用户到一个已存在的 SELinux 用户(上面例子中是 staff_u)。

☉  查看 SELinux 和 Linux 用户之间的映射: # semanage login -l
☉  为用户定义一个指定的范围: # semanage login --modify --range s2:c100 john
☉  调整用户家目录上的标签(如果需要的话): # chcon -R -l s2:c100 /home/john
☉  列出当前类别: # chcat -L
☉  修改类别或者创建你自己的分类,修改如下文件: /etc/selinux/_<selinuxtype>_/setrans.conf
☉  以某个特定的文件、角色和用户安全上下文来运行一个命令或者脚本: # runcon -t initrc_t -r system_r -u user_u yourcommandhere
◈  -t 是文件安全上下文
◈  -r 是角色安全上下文
◈  -u 是用户安全上下文
☉  在容器中禁用 SELinux:
◈ 使用 Podman: # podman run --security-opt label=disable ...
◈ 使用 Docker: # docker run --security-opt label=disable ...
☉  如果需要给容器提供完全访问系统的权限:
◈ 使用 Podman: # podman run --privileged ...
◈ 使用 Docker: # docker run --privileged ...

就这些了,你已经知道了答案。因此请相信我:不用恐慌,去打开 SELinux 吧

作者简介

Alex Callejas 是位于墨西哥城的红帽公司拉丁美洲区的一名技术客服经理。作为一名系统管理员,他已有超过 10 年的经验。在基础设施强化方面具有很强的专业知识。对开源抱有热情,通过在不同的公共事件和大学中分享他的知识来支持社区。天生的极客,当然他一般选择使用 Fedora Linux 发行版。[这里][11]有更多关于他的信息。


via: https://opensource.com/article/18/7/sysadmin-guide-selinux

作者:Alex Callejas[6] 选题:lujun9972 译者:qhwdwFSSlc 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出


 
Linux中国 更多文章 坐标重庆|时间周日:Linux 开源沙龙 测试 Node.js,2018 | Linux 中国 三款 Linux 下的 Git 图形客户端 | Linux&nbsp Textricator:让数据提取变得简单 | Linux 中国 Linux 下 cut 命令的 4 个基础实用的示例 |
猜您喜欢 美国联邦政府加密标准AES-Ruby [译文] Android开发最佳实践 Deepin创始人王勇宣布离职 【美术圈】ICON设计中5个要点