了解selinux,设置给文件selinux的安全上下文件,复制、移动对selinux规则的影响,设置apache、vsftpd的selinux规则
1.了解selinux
1)DAC:指用户访问资源的控制,即权限
MAC:selinux标签,限制进程访问资源,进程归用户所有;当用户调用进程去访问资源(file)时,检查selinux安全标签,匹配了才能访问。
selinux使用selinux用户、角色、类型和级别控制进程访问资源。
selinux属性的格式:user:role:type:level
ls -Z install.log
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log
2)selinux用户:不同于系统用户,selinux用户使用selinux策略的一部分,和系统用户有映射关系,一个系统用户对应一个selinux映射。semange查看关系。
需要安装软件:
yum -y install policycoreutils-python
semanage user -l
3)角色role:用户空间,进程的访问范围标记,如object_r
4)类型或者安全上下文,资源的标记,admin_home_t
5)安全级别:s0最常用
查看:进程、用户、文件的selinux属性
ps -eZ |grep http ##查看http进程的selinux
id -Z ##当前用户的selinux设置
ls -ldZ /var/www/html ##查看http网页跟目录的selinux属性
2.设置文件的selinux属性中安全上下文(type)
1.临时设置
echo 123123 >/var/www/html/index.html
cd /var/www/html
ls -Z index.html ##TYPE:httpd_sys_content_t,只允许apache的进程访问,访问测试
chcon -t admin_home_t index.html ##访问测试,无法访问到文件
restorecon -F -v index.html ##还原selinux属性,-F表示强制,-v详细
目录的selinux设置,在文件的基础上加“-R”选项即可。
2.永久生效
语法:semanage fcontext -{a|d|m} 文件 ##-a表示增加,-d删除,-l显示,-m修改
注意文件、目录使用绝对路径
文件:
semanage fcontext -a -t httpd_sys_content_t /web/a.file ##添加
cat /etc/selinux/targeted/contexts/files/file_contexts.local ##发现a.file的selinux属性
restorecon -v /web/a.file ##立即生效,restorecon恢复的依据就是file_contexts.local文件中的规则。
semanage fcontext -d -t httpd_sys_content_t /web/a.file ##删除a.file的selinux属性,相当于删除了file_contexts.local中的规则,不能使用vi等删除。
restorecon -F -v /web/a.file ##立即生效
目录:
semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" ##如果只写目录,目录下的内容的selinux属性不会被修改,使用正则匹配目录下的所有内容,"/web(/.*)"
restorecon -R -F -v /web/ ##立即生效
semanage fcontext -d -t httpd_sys_content_t "/web(/.*)?" ##删除
restorecon -R -F -v /web/
3.复制、移动对selinux规则的影响
移动:selinux不变,覆盖时会覆盖selinux属性
mv /root/index.html /var/www/html/
ls -Z /var/www/html/index.html ##selinux未发生变化
cd /home/
touch index.html
ls -Z /home/index.html ##文件的type:home_root_t
mv /home/index.html /var/www/html/
ls -Z /var/www/html/index.html ##selinux被覆盖,type变为home_root_t
复制:使用目标selinux的属性,覆盖时selinux属性不变
cp /root/install.log /var/www/html
ls -Z /var/www/html/install.log ##selinux的type:httpd_sys_content_t
cp /root/install.log /var/www/html/ ##覆盖,selinux属性不变
注意:对比移动和复制,复制更有利于保持selinux属性、推荐使用。
4.tar打包备份与selinux;特殊selinux type:file_t,default_t,user_tmp_t
1)tar打包时默认selinux丢失,使用“--selinux|--xattrs”可以保持selinux属性。
tar -zcvf /tmp/test-sel.tar.gz /var/www/html/ --selinux
2)特殊type:
file_t:文件没有selinux属性
default_t:文件或目录的selinux与file-context配置文件定义模式不匹配。
两种类型文件,设置了selinux属性的进程都不能访问。
user_tmp_t:用户临时文件的,所有的进程都可以访问。
5.vsftpd/apache
vsftpd:允许匿名:
getsebool -a |grep httpd |grep on$ ##查看sebool
setsebool allow_ftpd_anon_write=on
chcon -R -t public_content_rw_t /var/ftp/pub
chmod 777 /var/ftp/pub/
http:设置
setsebool httpd_enable_cgi=off
semanage fcontext -a -t httpd_sys_content_t "/usr/local/httpd/htdocs(/.*)?"
restorecon -R -v /usr/local/httpd/htdocs
