Linux--NiaoGe-Service-07网络安全与主机基本防护
Linux系统内自带的防火墙有两层:
第一层:数据包过滤防火墙:IP Filtering和Net Filter
要进入Linux本机的数据包都会先通过Linux预先内置的防火墙(Net Filter),Net Filter是由iptables这个软件提供的,主要针对TCP/IP的数据包头部来进行过滤的机制,主要分析的是OSI的第2、3、4层,主要控制的是MAC、IP、ICMP、TCP与UDP等。
第二层:TCP Wrappers
通过NetFilter之后,网络数据包会开始接受Super Daemons及TCP Wrappers的检验。通俗的说,就是/etc/host.allow与/etc/host.deny的配置文件功能,这个功能也是针对TCP的Header进行再次分析,同理,用户也可以自定义一些机制来过滤某些IP或port,来来源端的数据包被丢弃或通过检验。
除此之外,减少信息暴露的机会、建立严格的密码设置规则、完善权限设置、关闭不需要的网络服务、及时更新系统、关闭不需要的软件功能等。
不要安装不明来源的软件,不要下载不明网站的文件数据等;不要让系统有过多的危险命令,如SUID/SGID等;定时使用RKHunter等类似的软件检查系统;
CentOS的yum软件更新过程
yum的功能
[root@www ~]# yum [option] [查询的工作项目] [相关参数] 选项与参数: -y:默认yes 查询的工作项目:、 install:指定安装软件的名称,所以后面需接软件名称 update:进行整体升级行为;当然也可以借某个软件的名称,仅升级一个软件 remove:删除某个软件,remove后接要删除的软件名称 search:搜寻某个软件或是重要关键字 list:列出目前yum所管理的所有软件名称与版本,有点类似rpm -qa info:类似rpm -qai的执行结果 clean :下载文件爱你被放到/var/cache/yum,可使用clean将它移除,可清除的项目有package|headers|metadata|cache等 grouplist:列出所有可使用的软件组,如Development Tools之类的 groupinfo:后接group_name则可了解该group内含的所有软件名 groupinstall:安装某个软件组,也常与--installroot=/some/path共享来安装系统更新 groupremove:删除某个软件组
实例1 搜寻CentOS官网提供的软件名称与raid相关
[root@www ~]# yum search raid 已加载插件:fastestmirror, security Loading mirror speeds from cached hostfile * base: mirrors.shu.edu.cn * extras: mirrors.cqu.edu.cn * updates: mirrors.shu.edu.cn base | 3.7 kB 00:00 c6-media | 4.0 kB 00:00 ... extras | 3.4 kB 00:00 updates | 3.4 kB 00:00 ================================ N/S Matched: raid ================================ dmraid.i686 : dmraid (Device-mapper RAID tool and library) dmraid.x86_64 : dmraid (Device-mapper RAID tool and library) dmraid-devel.x86_64 : Development libraries and headers for dmraid. dmraid-events-logwatch.x86_64 : dmraid logwatch-based email reporting dmraid-events.x86_64 : dmevent_tool (Device-mapper event tool) and DSO firstaidkit-plugin-mdadm-conf.noarch : Firstaidkit plugin to diagnose software raid : configuration file mdadm.x86_64 : The mdadm program controls Linux md devices (software RAID arrays) Name and summary matches only, use "search all" for everything. [root@www ~]# yum search all raid 已加载插件:fastestmirror, security Loading mirror speeds from cached hostfile * base: mirrors.shu.edu.cn * extras: mirrors.cqu.edu.cn * updates: mirrors.shu.edu.cn ================================== Matched: raid ================================== dmraid.i686 : dmraid (Device-mapper RAID tool and library) dmraid.x86_64 : dmraid (Device-mapper RAID tool and library) dmraid-devel.x86_64 : Development libraries and headers for dmraid. dmraid-events-logwatch.x86_64 : dmraid logwatch-based email reporting dmraid-events.x86_64 : dmevent_tool (Device-mapper event tool) and DSO mdadm.x86_64 : The mdadm program controls Linux md devices (software RAID arrays) firstaidkit-plugin-mdadm-conf.noarch : Firstaidkit plugin to diagnose software raid : configuration file gnome-disk-utility.x86_64 : Disk management application lvm2.x86_64 : Userland logical volume management tools sgpio.x86_64 : SGPIO captive backplane tool
实例2 根据实例1中的结果,如果想查询mdadm的功能是什么
[root@www ~]# yum info mdadm 已加载插件:fastestmirror, security Loading mirror speeds from cached hostfile * base: mirrors.shu.edu.cn * extras: mirrors.cqu.edu.cn * updates: mirrors.shu.edu.cn 已安装的软件包 Name : mdadm Arch : x86_64 Version : 3.3.4 Release : 8.el6 Size : 805 k Repo : installed From repo : anaconda-CentOS-201703281317.x86_64 Summary : The mdadm program controls Linux md devices (software RAID arrays) URL : http://www.kernel.org/pub/linux/utils/raid/mdadm/ License : GPLv2+ Description : The mdadm program is used to create, manage, and monitor Linux MD : (software RAID) devices. As such, it provides similar functionality : to the raidtools package. However, mdadm is a single program, and it : can perform almost all functions without a configuration file, though : a configuration file can be used to help with some common tasks.
实例3 假如记不起某个软件的全程
[root@www ~]# yum list javacc* 已加载插件:fastestmirror, security Loading mirror speeds from cached hostfile * base: mirrors.shu.edu.cn * extras: mirrors.cqu.edu.cn * updates: mirrors.shu.edu.cn 可安装的软件包 javacc.x86_64 4.1-0.5.el6 base javacc-demo.x86_64 4.1-0.5.el6 base javacc-manual.x86_64 4.1-0.5.el6 base 安装试试 [root@www ~]# yum install -y javacc 已加载插件:fastestmirror, security 设置安装进程 Loading mirror speeds from cached hostfile * base: mirrors.shu.edu.cn * extras: mirrors.cqu.edu.cn * updates: mirrors.shu.edu.cn 解决依赖关系 --> 执行事务检查 ---> Package javacc.x86_64 0:4.1-0.5.el6 will be 安装 --> 处理依赖关系 java-gcj-compat >= 1.0.31,它被软件包 javacc-4.1-0.5.el6.x86_64 需要 --> 处理依赖关系 java-gcj-compat >= 1.0.31,它被软件包 javacc-4.1-0.5.el6.x86_64 需要 --> 处理依赖关系 libgcj_bc.so.1()(64bit),它被软件包 javacc-4.1-0.5.el6.x86_64 需要 --> 执行事务检查 ---> Package java-1.5.0-gcj.x86_64 0:1.5.0.0-29.1.el6 will be 安装 --> 处理依赖关系 sinjdoc,它被软件包 java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64 需要 ---> Package libgcj.x86_64 0:4.4.7-23.el6 will be 安装 --> 执行事务检查 ---> Package sinjdoc.x86_64 0:0.5-9.1.el6 will be 安装 --> 处理依赖关系 java_cup >= 0.10,它被软件包 sinjdoc-0.5-9.1.el6.x86_64 需要 --> 执行事务检查 ---> Package java_cup.x86_64 1:0.10k-5.el6 will be 安装 --> 完成依赖关系计算 依赖关系解决 =================================================================================== 软件包 架构 版本 仓库 大小 =================================================================================== 正在安装: javacc x86_64 4.1-0.5.el6 base 895 k 为依赖而安装: java-1.5.0-gcj x86_64 1.5.0.0-29.1.el6 base 139 k java_cup x86_64 1:0.10k-5.el6 base 197 k libgcj x86_64 4.4.7-23.el6 base 19 M sinjdoc x86_64 0.5-9.1.el6 base 705 k 事务概要 =================================================================================== Install 5 Package(s) 总下载量:20 M Installed size: 68 M 下载软件包: (1/5): java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64.rpm | 139 kB 00:00 (2/5): java_cup-0.10k-5.el6.x86_64.rpm | 197 kB 00:00 (3/5): javacc-4.1-0.5.el6.x86_64.rpm | 895 kB 00:00 (4/5): libgcj-4.4.7-23.el6.x86_64.rpm | 19 MB 00:09 (5/5): sinjdoc-0.5-9.1.el6.x86_64.rpm | 705 kB 00:00 ----------------------------------------------------------------------------------- 总计 2.0 MB/s | 20 MB 00:10 运行 rpm_check_debug 执行事务测试 事务测试成功 执行事务 正在安装 : libgcj-4.4.7-23.el6.x86_64 1/5 正在安装 : java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64 2/5 正在安装 : 1:java_cup-0.10k-5.el6.x86_64 3/5 正在安装 : sinjdoc-0.5-9.1.el6.x86_64 4/5 正在安装 : javacc-4.1-0.5.el6.x86_64 5/5 Verifying : javacc-4.1-0.5.el6.x86_64 1/5 Verifying : sinjdoc-0.5-9.1.el6.x86_64 2/5 Verifying : libgcj-4.4.7-23.el6.x86_64 3/5 Verifying : 1:java_cup-0.10k-5.el6.x86_64 4/5 Verifying : java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64 5/5 已安装: javacc.x86_64 0:4.1-0.5.el6 作为依赖被安装: java-1.5.0-gcj.x86_64 0:1.5.0.0-29.1.el6 java_cup.x86_64 1:0.10k-5.el6 libgcj.x86_64 0:4.4.7-23.el6 sinjdoc.x86_64 0:0.5-9.1.el6 完毕!
实例4 查看系统的软件组有多少个
[root@www ~]# LANG=C yum grouplist Loaded plugins: fastestmirror, security Setting up Group Process Loading mirror speeds from cached hostfile * base: mirrors.shu.edu.cn * extras: mirrors.cqu.edu.cn * updates: mirrors.shu.edu.cn base/group_gz | 242 kB 00:00 c6-media/group_gz | 226 kB 00:00 ... Installed Groups: 已安装的软件组 Additional Development Base CIFS file server Compatibility libraries ......省略....... Security Tools Server Platform Installed Language Groups: 已安装的语言 Arabic Support [ar] Armenian Support [hy] Chinese Support [zh] ....省略..... Tajik Support [tg] Available Groups:尚未安装的软件组 Backup Client .....省略..... Upper Sorbian Support [hsb] Urdu Support [ur] Uzbek Support [uz] Venda Support [ve] Vietnamese Support [vi] Walloon Support [wa] Welsh Support [cy] Xhosa Support [xh] Zulu Support [zu] Done
实例 5 Desktop Platform内含多少个rpm软件
[root@www ~]# yum groupinfo "Desktop Platform" 已加载插件:fastestmirror, security 设置组进程 Loading mirror speeds from cached hostfile * base: mirrors.shu.edu.cn * extras: mirrors.cqu.edu.cn * updates: mirrors.shu.edu.cn 组:桌面平台 描述:支持的用于红帽企业版 Linux 桌面平台的程序库。 必要的软件包: atk cairo dbus dbus-libs fontconfig ....省略..... qt qt3 redhat-lsb-graphics redhat-lsb-printing 可选的软件包: qt-mysql qt-odbc qt-postgresql qt3-MySQL qt3-ODBC qt3-PostgreSQL
安装的话直接使用yum groupinstall "Desktop Platform"来安装。
设置系统自动更新
[root@www ~]# crontab -e 30 4 * * * root yum -y update && yum clean packages
自定义镜像站点
对于自定义的景象站点,比较重要的一个目录是repodata,该目录是分析rpm软件后所产生的软件属性相依数据放置处。 国内可以使用的镜像站点: http://mirrors.ustc.edu.cn/centos/ 科大 https://mirrors.tuna.tsinghua.edu.cn/centos/ 清华 https://mirrors.aliyun.com/centos/ 阿里云 http://mirrors.163.com/centos/ 网易 其他自己可以搜索。 [root@www ~]# ls /etc/yum.repos.d/ CentOS-Base.repo CentOS-fasttrack.repo CentOS-Vault.repo CentOS-Debuginfo.repo CentOS-Media.repo [root@www ~]# vim /etc/yum.repos.d/CentOS-Base.repo //自定义的话,只需将这个文件内的原来的连接替换成上面的连接即可。 查看当前系统版本号 [root@www ~]# cat /etc/redhat-release CentOS release 6.10 (Final) 以USTC为例,USTC提供了文件模板 连接http://mirrors.ustc.edu.cn/help/centos.html [root@www ~]# yum repolist all | grep repolist repolist: 13,572 当本地缓存里的数据与yum服务器的列表不同步的时候,可以使用以下方法 [root@www ~]# yum clean [packages | headers | all] 选项与参数 packages:将已经下载的软件文件删除 headers:将下载的软件头删除 all:将所有的容器数据都删除 范例:删除已下载过的所有容器的相关数据(含软件本身列表) [root@www ~]# yum clean all
限制连接端口(port)
服务器端启动的监听端口所对应的服务是固定的,如www的port80、FTP的port21、Email的port25.
一般主机会有65536个port,这些port以1024为界,只有root才能启动保留的port,在小于1024的端口,都是以root身份才能启动的,这些port主要是用于一些常见的通信服务,在Linux系统中,常见的协议与port对应关系记录在/etc/services文件里面。
大于1024用户Client端的Port:大于1024以上的Port主要是作为Client端的软件激活端口。
是否需要三次握手
建立可靠的连接服务需要使用到TCP协议,也就是需要所谓的三次握手,如果是非面向连接的服务,如DNS与视频系统,则只需UDP协议即可。
通信协议可以启用在非正规的Port
比如说:通常情况下WWW的默认启动的port是80,那么我们也可以通过修改配置文件,使之启动在其他port上,如8088,8008等,更改过端口口,客户端访问时只需在IP后面加port即可。
端口查看命令:netstat、nmap
列出正在监听的网络服务
[root@www ~]# netstat -lntu Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN ......省略.....
列出已经连接的网络状态
[root@www ~]# netstat -tun Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 64 192.168.30.12:22 192.168.30.1:5009 ESTABLISHED
删除已建立或正在监听当中的连接
[root@www ~]# netstat -tunp Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 64 192.168.30.12:22 192.168.30.1:5009 ESTABLISHED 2147/sshd [root@www ~]# kill -9 port
nmap的安装和使用
[root@www ~]# yum install -y nmap [root@www ~]# nmap [扫描类型] [扫描参数] [hosts 地址与范围] 选项与参数: 扫描类型: -sT:扫描TCP数据包已建立的连接connect() -sS:扫面TCP数据包带有SYN卷标的数据 -sP:以ping的方式进行扫描 -sU:以UDP的数据包格式进行扫描 -sO:以IP的协议(protocol)进行主机的扫描 扫描参数: -PT:使用TCP里头的ping的方式进行扫描,可以获知目前有几台计算机存在(较常用) -PI:使用实际的ping(带有ICMP数据包的)来进行扫描 -p:这个port range,如1024-、80-1023、30000-60000等的使用方式 Hosts地址与范围: 192.168.1.100:直接写入HOST IP而已,仅检查一台 192.168.1.0/24:为C Class的形态 192.168.*.*:扫描B类地址 192.168.1.0-50,60-100,103,200:这种变形是的主机范围
使用默认参数扫描本机所启用的port(只会扫描TCP)
[root@www ~]# nmap localhost Starting Nmap 5.51 ( http://nmap.org ) at 2018-09-10 19:18 CST Nmap scan report for localhost (127.0.0.1) Host is up (0.0000050s latency). Other addresses for localhost (not scanned): 127.0.0.1 Not shown: 994 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 139/tcp open netbios-ssn 445/tcp open microsoft-ds 631/tcp open ipp Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds
扫描本机的TCP/UDP端口
[root@www ~]# nmap -sTU localhost Starting Nmap 5.51 ( http://nmap.org ) at 2018-09-10 19:20 CST Nmap scan report for localhost (127.0.0.1) Host is up (0.00083s latency). Other addresses for localhost (not scanned): 127.0.0.1 Not shown: 1989 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 139/tcp open netbios-ssn 445/tcp open microsoft-ds 631/tcp open ipp 68/udp open|filtered dhcpc 111/udp open rpcbind 137/udp open netbios-ns 138/udp open|filtered netbios-dgm 631/udp open|filtered ipp Nmap done: 1 IP address (1 host up) scanned in 1.34 seconds
通过ICMP数据包的检测,分析局域网内有几台主机是启动的
[root@www ~]# nmap -sP 192.168.30.0/24 Starting Nmap 5.51 ( http://nmap.org ) at 2018-09-10 19:23 CST Nmap scan report for 192.168.30.1 Host is up (0.00013s latency). MAC Address: 00:50:56:C0:00:08 (VMware) Nmap scan report for 192.168.30.2 Host is up (0.00014s latency). MAC Address: 00:50:56:F8:1A:6B (VMware) Nmap scan report for 192.168.30.9 Host is up (0.000076s latency). MAC Address: 00:0C:29:CF:02:BA (VMware) Nmap scan report for 192.168.30.11 Host is up (0.00020s latency). MAC Address: 00:0C:29:C6:12:12 (VMware) Nmap scan report for www.xueji.com (192.168.30.12) Host is up. Nmap scan report for 192.168.30.13 Host is up (0.000064s latency). MAC Address: 00:0C:29:C6:12:12 (VMware) Nmap scan report for 192.168.30.254 Host is up (0.000038s latency). MAC Address: 00:50:56:FA:92:FA (VMware) Nmap done: 256 IP addresses (7 hosts up) scanned in 7.48 seconds
如果是想要将各个主机的启动Port做一番检测的话,使用如下命令:
[root@www ~]# nmap 192.168.30.0/24
stand alone与super daemon
stand alone:是直接执行该服务的可执行文件,让该文件直接加载到内存当中运行,用这种方式来启动的优点是可以让服务具有较快速的相应。一般来说,这种哦哦那个服务的启动script都会放置到/etc/init.d/这个目录下,所以通常可以使用/etc/init.d/service name restart来重启service name。
super daemon:用一个超级服务作为总管来统一管理某些特殊的服务,在CentOS 6.x系列中使用的是xinetd这个super daemon,这种方式启动的网络服务虽然在响应速度上会比较慢,但是,可以动过super daemon额外提供一些管理,如控制何时启动、何时可以进行连接、哪个IP可以连进来、是否允许同时连接的等。通常个别服务的配置文件放置在/etc/xinetd.d/这个目录下,配置完成后需要/etc/init.d/xinetd restart来重新启动是配置生效。
实例 想知道系统中的port 111是否关闭了
root@www ~]# netstat -tnlp | grep 111 tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1581/rpcbind tcp 0 0 :::111 :::* LISTEN 1581/rpcbind [root@www ~]# which rpcbind /sbin/rpcbind [root@www ~]# rpm -qf /sbin/rpcbind rpcbind-0.2.0-16.el6.x86_64 [root@www ~]# rpm -qc rpcbind | grep init /etc/rc.d/init.d/rpcbind [root@www ~]# /etc/init.d/rpcbind stop 停止 rpcbind: [确定] [root@www ~]#
实例 启动系统中的Telnet服务
[root@www ~]# rpm -qa | grep telnet-server 首先查看系统中是否安装的了telenet服务 [root@www ~]# yum install -y telnet-server [root@www ~]# vim /etc/xinetd.d/telnet # default: on # description: The telnet server serves telnet sessions; it uses \ # unencrypted username/password pairs for authentication. service telnet { flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID disable = no 原值yes,改为no } [root@www ~]# /etc/init.d/xinetd restart 停止 xinetd: [失败] 正在启动 xinetd: [确定] [root@www ~]# netstat -tnlp | grep 23 tcp 0 0 :::23 :::* LISTEN 3168/xinetd
常见的必须存在的系统服务
服务名称 | 服务内容 |
acpid | 新版的电源管理模块,通常建议开启,某些笔记本电脑不支持,那就得关闭了。 |
atd | 管理单一计划命令执行的服务,可以启动 |
crond | 管理计划任务的重要服务,必须启动 |
haldaemon | 用于检测系统硬件变更的服务,与USB设备关系很大 |
iptables | Linux内建的防火墙,可以启动 |
network | Linux的网络服务,如果不需要网络的话,那就不需要启动 |
postfix | 系统内部的邮件传递服务,建议启动 |
rsyslog | 系统的登录文件记录,建议启动 |
sshd | 默认启动,远程连接用到 |
xinetd | super Daemon,建议启动 |
SELinux相关
[root@www ~]# ls -Z -rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 bin -rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 e1000e-3.4.2.1.tar.gz -rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log -rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog 说明 中间用冒号隔开的分别表示 Identify:role:type即身份识别:角色:类型 身份识别(identify):账号方面的身份识别,主要有 root:表示root的账号身份 system_u:表示系统程序方面的识别,通常就是程序 user_u:一般用户帐号相关的身份 角色(role):通过角色字段,我们可以知道这个数据是不是代表程序,文件资源还是用户 object_r:代表的是文件或目录等文件资源,这是最常见的 system_r:代表程序,不过,一般用户也会被指定为system_r. 类型(type):在默认的target策略中,identifiy与role字段基本上是不重要的,重要的在于这个类型(Type)字段,基本上,一个主体程序能不能呢个读取到这个文件资源,与类型字段有关,而类型字段在文件与程序中的定义不太相同,分别是: type:在文件资源(object)中成为类型(type) domain:在主体程序(subject)中则称为域(domain) domain需要与type搭配,该程序才能够顺利地读取文件资源
程序与文件SELinux Type字段的相关性
身份识别 | 角色 | 该对应在target的意义 |
root | system_r | 代表供root账号登录时所取得的权限 |
system-u | system_r | 由于未系统账号,因此是非交互的系统运行程序 |
user_u | system_r | 一般可登录用户的程序 |
如上所述,最重要的自大unshi类型字段,主题与目标之间是否具有可以读写的权限,与程序的domain及文件的type有关,这两者的关系我们可以使用实现www服务功能的http程序与/var/www/html/网页存储目录来说明,首先,看看两者的安全性环境内容:
[root@www ~]# yum install -y httpd [root@www ~]# ls -Zd /usr/sbin/httpd /var/www/html/ -rwxr-xr-x. root root system_u:object_r:httpd_exec_t:s0 /usr/sbin/httpd drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/ 注意两者的角色都是object_r,代表都是文件,而httpd属于httpd-exec_t类型,/var/www/html则属于httpd_sys_content_t这个类型 由以上信息克制,httpd属于httpd_exec_t这个可执行的类型,而/var/www/html/属于httpd_sys_content_t这个可以让httpd域(domain)读取的类型。
SELinux的启动、关闭与查看
值得注意的是,不是所有的Linux distribution都支持SELinux;
SELinux的三种模式:
enforcing:强制模式,代表SELinux已经启动,且已经开始限制domain/type了。
permissive:宽容模式,代表SELinux已经启动,但是只会发出警告并不会实际限制。
disabled:禁用,代表SELinux已经不再运行。
SELinux的状态的查看、更改
[root@www ~]# getenforce Enforcing [root@www ~]# setenforce 0 [root@www ~]# getenforce Permissive [root@www ~]# setenforce 1 [root@www ~]# getenforce Enforcing [root@www ~]# vim /etc/selinux/config ...... SELINUX=disabled //永久关闭 .......
如果在更改了SELinux的状态后,某些服务在启动的时候抛出没有权限读取/lib/xxx里面的数据时,解决办法:将SELinux重新设为Permissive的状态,使用”restorecon -Rv /“重新还原所有的SELinux的类型即可。
SELinux Type的修改
chcon命令
[root@www ~]# chcon [-R] [-t type] [-u user] [-r role] 文件 [root@www ~]# chcon [-R] --reference=范例文件 文件 选项与参数 -R:连同该目录下的子目录也同时修改 -t:后面接安全性环境的类型字段,如httpd_sys_content_t -u:后面接身份识别,如system_u -r:后面接角色,如system_r --reference=范例文件:以某个文件为范例修改后续接的文件的文件类型
将/etc/hosts复制到/root/目录下,查看相关SELinux类型变化
[root@www ~]# cp /etc/hosts /root/ [root@www ~]# ls -dZ /etc/hosts /root/hosts /root/ -rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/hosts dr-xr-x---. root root system_u:object_r:admin_home_t:s0 /root/ -rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /root/hosts
[root@www ~]# mv /root/hosts /tmp/ [root@www ~]# ls -dZ /tmp/ /tmp/hosts drwxrwxrwt. root root system_u:object_r:tmp_t:s0 /tmp/ -rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /tmp/hosts 如何将/tmp/hosts变更为最原始的net_conf_t,就要用到chcon命令 [root@www ~]# chcon -t net_conf_t /tmp/hosts [root@www ~]# ls -lZ /tmp/hosts -rw-r--r--. root root unconfined_u:object_r:net_conf_t:s0 /tmp/hosts #以/var/spool/mail为依据,将/tmp/hosts修改成该类型 [root@www ~]# ls -lZ /var/spool/mail/ -rw-------. root mail system_u:object_r:mail_spool_t:s0 root -rw-rw----. rpc mail system_u:object_r:mail_spool_t:s0 rpc -rw-rw----. student mail unconfined_u:object_r:mail_spool_t:s0 student -rw-rw----. test mail unconfined_u:object_r:mail_spool_t:s0 test -rw-rw----. xueji01 mail unconfined_u:object_r:mail_spool_t:s0 xueji01 -rw-rw----. xueji02 mail unconfined_u:object_r:mail_spool_t:s0 xueji02 -rw-rw----. xueji03 mail unconfined_u:object_r:mail_spool_t:s0 xueji03 -rw-rw----. xueji04 mail unconfined_u:object_r:mail_spool_t:s0 xueji04 -rw-rw----. xueji05 mail unconfined_u:object_r:mail_spool_t:s0 xueji05 [root@www ~]# chcon --reference=/var/spool/mail/ /tmp/hosts [root@www ~]# ls -lZ /tmp/hosts -rw-r--r--. root root system_u:object_r:mail_spool_t:s0 /tmp/hosts
恢复原有的SELinux Type命令:restorecon
[root@www ~]# restorecon [-Rv] 文件或目录 选项与参数 -R:连同子目录一起修改 -v :将过程显示到屏幕上
实例 将/tmp/hosts移动至/root并以默认的安全性环境修正过来
[root@www ~]# mv /tmp/hosts /root/ [root@www ~]# ls -lZ /root/hosts -rw-r--r--. root root system_u:object_r:mail_spool_t:s0 /root/hosts [root@www ~]# restorecon -Rv /root/ restorecon reset /root/hosts context system_u:object_r:mail_spool_t:s0->system_u:object_r:admin_home_t:s0
通过semanage查询与修改默认的SELinux Type类型
[root@www ~]# yum provides */semanage 已加载插件:fastestmirror, security Loading mirror speeds from cached hostfile base/filelists_db | 6.4 MB 00:03 c6-media/filelists_db | 6.3 MB 00:00 ... extras/filelists_db | 24 kB 00:00 updates/filelists_db | 852 kB 00:00 libsemanage-devel-2.0.43-5.1.el6.x86_64 : Header files and libraries used to build : policy manipulation tools Repo : base 匹配来自于: Filename : /usr/include/semanage libsemanage-devel-2.0.43-5.1.el6.i686 : Header files and libraries used to build : policy manipulation tools Repo : base 匹配来自于: Filename : /usr/include/semanage policycoreutils-python-2.0.83-30.1.el6_8.x86_64 : SELinux policy core python : utilities Repo : base 匹配来自于: Filename : /usr/sbin/semanage policycoreutils-python-2.0.83-30.1.el6_8.x86_64 : SELinux policy core python : utilities Repo : c6-media 匹配来自于: Filename : /usr/sbin/semanage libsemanage-devel-2.0.43-5.1.el6.i686 : Header files and libraries used to build : policy manipulation tools Repo : c6-media 匹配来自于: Filename : /usr/include/semanage libsemanage-devel-2.0.43-5.1.el6.x86_64 : Header files and libraries used to build : policy manipulation tools Repo : c6-media 匹配来自于: Filename : /usr/include/semanage [root@www ~]# yum install -y policycoreutils-python
semanage命令
[root@www ~]# semanage {login | user | port | interface | fcontext | translation} -l [root@www ~]# semanage fcontext -{a|d|m} -[frst] file_spec 选项与参数: fcontext:主要用在安全性环境方面,-l为查询的意思 -a:增加,用户可以增加一些目录的默认安全性环境类型设置 -m:修改 -d:删除
实例 查询/var/www的默认安全性环境的设置
[root@www ~]# semanage fcontext -l | grep '/var/www' /var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0 /var/www/[^/]*/cgi-bin(/.*)? all files system_u:object_r:httpd_sys_script_exec_t:s0 ........省略........
实例 利用semanage设置/srv/xueji/目录的默认安全性环境为public_content_t
[root@www ~]# mkdir /srv/xueji [root@www ~]# ls -lZd /srv/xueji/ drwxr-xr-x. root root unconfined_u:object_r:var_t:s0 /srv/xueji/ [root@www ~]# semanage fcontext -l | grep '/srv/' /srv/.* all files system_u:object_r:var_t:s0 /srv/([^/]*/)?ftp(/.*)? all files system_u:object_r:public_content_t:s0 ..........省略......... [root@www ~]# semanage fcontext -a -t public_content_t "/srv/xueji(/.*)?" [root@www ~]# semanage fcontext -l | grep '/srv/xueji' /srv/xueji(/.*)? all files system_u:object_r:public_content_t:s0 [root@www ~]# cat /etc/selinux/targeted/contexts/files/file_contexts.local # This file is auto-generated by libsemanage # Do not edit directly. /srv/xueji(/.*)? system_u:object_r:public_content_t:s0 恢复默认值 [root@www ~]# restorecon -Rv /srv/xueji* restorecon reset /srv/xueji context unconfined_u:object_r:var_t:s0->unconfined_u:object_r:public_content_t:s0 [root@www ~]# ls -lZd /srv/xueji/ drwxr-xr-x. root root unconfined_u:object_r:public_content_t:s0 /srv/xueji/
SELinux策略内的规则与布尔值
[root@www ~]# yum provides */seinfo 已加载插件:fastestmirror, security Loading mirror speeds from cached hostfile setools-console-3.3.7-4.el6.x86_64 : Policy analysis command-line tools for SELinux Repo : base 匹配来自于: Filename : /usr/bin/seinfo setools-console-3.3.7-4.el6.x86_64 : Policy analysis command-line tools for SELinux Repo : c6-media 匹配来自于: Filename : /usr/bin/seinfo [root@www ~]# yum install -y setools-console
seinfo命令用来查阅targetd策略
[root@www ~]# seinfo [-Atrub] 选项与参数 -A:列出SELinux的状态、规则布尔值、身份识别、角色、类别等所有信息 -t:列出SELinux的所有类别(type)种类 -r:列出SELinux的所有角色(role)种类 -u:列出SELinux的所有身份识别(user)种类 -b:列出所有规则的种类(布尔值)
实例 列出SELinux在此策略下统计状态
[root@www ~]# seinfo Statistics for policy file: /etc/selinux/targeted/policy/policy.24 Policy Version & Type: v.24 (binary, mls) Classes: 81 Permissions: 238 Sensitivities: 1 Categories: 1024 Types: 3920 Attributes: 295 Users: 9 Roles: 12 Booleans: 237 Cond. Expr.: 277 Allow: 323336 Neverallow: 0 Auditallow: 141 Dontaudit: 274738 Type_trans: 42431 Type_change: 38 Type_member: 48 Role allow: 19 Role_trans: 386 Range_trans: 6258 Constraints: 90 Validatetrans: 0 Initial SIDs: 27 Fs_use: 23 Genfscon: 84 Portcon: 474 Netifcon: 0 Nodecon: 0 Permissives: 90 Polcap: 2
实例 列出与httpd有关的规则(Booleans)
[root@www ~]# seinfo -b | grep httpd httpd_manage_ipa httpd_run_stickshift httpd_use_fusefs httpd_use_openstack allow_httpd_mod_auth_pam ......省略......
查询详细规则适用sesearch
经过查询,sesearch也是由setool-console提供的 [root@www ~]# sesearch [--all] [-s 主体类别] [-t 目标类别] [-b 布尔值] 选项与参数 --all:列出该类别或布尔值的所有相关信息 -t:后接类别,如-t httpd_t -b:后接布尔值的规则,如-b httpd_enable_ftp_server
实例 找出目标文件资源类别为httpd_sys_content_t的相关信息
[root@www ~]# sesearch --all -t httpd_sys_content_t Found 802 semantic av rules: allow ntop_t httpd_sys_content_t : file { ioctl read getattr lock open } ; allow antivirus_domain httpd_sys_content_t : file { ioctl read getattr lock open } ; allow httpd_suexec_t httpd_sys_content_t : dir { getattr search open } ; allow ntop_t httpd_sys_content_t : dir { ioctl read getattr lock search open } ; .........省略........
实例 查询布尔值httpd_enable_homedirs的规范
[root@www ~]# sesearch -b httpd_enable_homedirs --all > out2.txt Found 46 semantic av rules: allow httpd_suexec_t home_root_t : dir { ioctl read getattr lock search open } ; allow httpd_suexec_t home_root_t : lnk_file { read getattr } ; .......省略.......
实例 布尔值的查询与修改
[root@www ~]# getsebool [-a] [布尔值条款] 选项与参数 -a:列出目前系统上面的所有布尔值条款设置为开启或关闭值 实例 查询当前系统内所有的布尔值设置状况 [root@www ~]# getsebool -a abrt_anon_write --> off abrt_handle_event --> off allow_console_login --> on allow_cvs_read_shadow --> off allow_daemons_dump_core --> on allow_daemons_use_tcp_wrapper --> off .......省略......... [root@www ~]# setsebool -[P] 布尔值=[0|1] 选项与参数 -P:直接将设置值写入配置文件,该设置数据未来会生效的 实例 查询httpd_enable_homedirs是否为on,若不为on,将其设为on, [root@www ~]# getsebool httpd_enable_homedirs httpd_enable_homedirs --> off [root@www ~]# setsebool -P httpd_enable_homedirs=1 [root@www ~]# getsebool httpd_enable_homedirs httpd_enable_homedirs --> on
SELinux日志文件记录所需的服务
1.setroubleshoot:将错误信息写入/var/log/messages
几乎所有SELinux相关的程序都是以se开头,setroubleshoot服务会将错误信息和解决办法记录到/var/log/messages和/var/log/setroubleshoot/*中,setroubleshoot的安装与启动如下
[root@www ~]# yum install -y setroubleshoot [root@www ~]# /etc/init.d/auditd start 正在启动 auditd: [root@www ~]# /etc/init.d/httpd start 正在启动 httpd: [确定] [root@www ~]# netstat -tlnp | grep http tcp 0 0 :::80 :::* LISTEN 2337/httpd [root@www ~]# echo "My First SELinux Check " > index.html [root@www ~]# ls -l index.html -rw-r--r--. 1 root root 24 9月 10 22:00 index.html [root@www ~]# mv index.html /var/www/html/ [root@www ~]# links http://localhost/index.html --dump Forbidden You don't have permission to access /index.html on this server. -------------------------------------------------------------------------- Apache/2.2.15 (CentOS) Server at localhost Port 80 [root@www ~]# cat /var/log/messages | grep setroubleshoot Sep 10 21:47:05 www yum[2238]: Installed: setroubleshoot-plugins-3.0.40-4.1.el6.noarch Sep 10 21:47:06 www yum[2238]: Installed: setroubleshoot-server-3.0.47-14.el6.x86_64 Sep 10 21:47:06 www yum[2238]: Installed: setroubleshoot-3.0.47-14.el6.x86_64 Sep 10 22:01:07 www setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html. For complete SELinux messages. run sealert -l 62c087fe-77ee-46f1-94b3-f78bff0cbf0b Sep 10 22:01:07 www setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html. For complete SELinux messages. run sealert -l 62c087fe-77ee-46f1-94b3-f78bff0cbf0b 根据提示,解决问题 [root@www ~]# sealert -l 62c087fe-77ee-46f1-94b3-f78bff0cbf0b SELinux is preventing /usr/sbin/httpd from getattr access on the 文件 /var/www/html/index.html. ***** 插件 restorecon (99.5 置信度) 建议 ****************************************** If 您想要修复标签。 /var/www/html/index.html 默认标签应为 httpd_sys_content_t。 Then 您可以运行 restorecon。 Do # /sbin/restorecon -v /var/www/html/index.html ***** 插件 catchall (1.49 置信度) 建议 ******************************************** If 您确定应默认允许 httpd getattr 访问 index.html file。 Then 您应该将这个情况作为 bug 报告。 您可以生成本地策略模块允许这个访问。 Do 请执行以下命令此时允许这个访问: # grep httpd /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp 更多信息: 源上下文 unconfined_u:system_r:httpd_t:s0 目标上下文 unconfined_u:object_r:admin_home_t:s0 目标对象 /var/www/html/index.html [ file ] 源 httpd 源路径 /usr/sbin/httpd 端口 <未知> 主机 www.xueji.com 源 RPM 软件包 httpd-2.2.15-69.el6.centos.x86_64 目标 RPM 软件包 file /var/www/html/index.html is not owned by any package 策略 RPM selinux-policy-3.7.19-312.el6.noarch Selinux 已经激活 True 策略类型 targeted 强制模式 Enforcing 主机名 www.xueji.com 平台 Linux www.xueji.com 2.6.32-754.3.5.el6.x86_64 #1 SMP Tue Aug 14 20:46:41 UTC 2018 x86_64 x86_64 警报计数 2 第一个 2018年09月10日 星期一 22时01分04秒 最后一个 2018年09月10日 星期一 22时01分04秒 本地 ID 62c087fe-77ee-46f1-94b3-f78bff0cbf0b 原始核查信息 type=AVC msg=audit(1536588064.275:77): avc: denied { getattr } for pid=2341 comm="httpd" path="/var/www/html/index.html" dev=sda6 ino=2478 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file type=SYSCALL msg=audit(1536588064.275:77): arch=x86_64 syscall=lstat success=no exit=EACCES a0=5604518a6488 a1=7ffe904c5470 a2=7ffe904c5470 a3=1 items=0 ppid=2337 pid=2341 auid=0 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm=httpd exe=/usr/sbin/httpd subj=unconfined_u:system_r:httpd_t:s0 key=(null) Hash: httpd,httpd_t,admin_home_t,file,getattr audit2allow #============= httpd_t ============== allow httpd_t admin_home_t:file getattr; audit2allow -R #============= httpd_t ============== allow httpd_t admin_home_t:file getattr; [root@www ~]# restorecon -Rv '/var/www/html/index.html' restorecon reset /var/www/html/index.html context unconfined_u:object_r:admin_home_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0 [root@www ~]# /etc/init.d/httpd restart 停止 httpd: [确定] 正在启动 httpd: [确定] [root@www ~]# links http://localhost/index.html --dump My First SELinux Check
用E-mail或在命令列上直接提供setroubleshoot错误信息
[root@www ~]# cp /etc/setroubleshoot/setroubleshoot.conf{,.bak} [root@www ~]# vim /etc/setroubleshoot/setroubleshoot.conf ..... recipients_filepath = /var/lib/setroubleshoot/email_alert_recipients //确保此行存在 .......... console = True //原值false改为True [root@www ~]# cp /var/lib/setroubleshoot/email_alert_recipients{,.bak} [root@www ~]# vim /var/lib/setroubleshoot/email_alert_recipient root@localhost xueji@163.com [root@www ~]# /etc/init.d/auditd restart 停止 auditd: [确定] 正在启动 auditd: [确定]
一些特殊情况处理,如果因为一些原因,CentOS没有规范到setroubleshoot信息,可能还是无法了解到问题到底是出在哪里,此时建按如下处理:
1)在服务于rwx权限都没有问题,却无法正常使用网络服务时,先使用setenforce 0设置为宽容模式
2)再次使用该网络服务,如果正常,表明是SELinux出现问题,接着向下处理问题;如果仍不可用,则表明不是SELinux的问题,需要考虑其他方面。
3)分析/var/log/messages内的信息,找到sealert -l相关的信息并执行。
4)过滤Allow Access关键词,按照其中的动作来执行SELinux的错误解决办法
5)处理完成后,setenfoce 1,再次测试网络服务。
posted on 2018-09-10 14:16 Lucky_7 阅读(...) 评论(...) 编辑 收藏