2018-05-04 SELINUX

1、相关命令和配置文件

[root@centos6 ~]#sestatus  ---查看seliux的状态
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          permissive
Policy version:                 24
Policy from config file:        targeted
[root@centos6 ~]#getenforce   ---查看当前状态
Permissive
[root@centos6 ~]#setenforce 0  ---禁用selinux
[root@centos6 ~]#getenforce
Permissive
[root@centos6 ~]#setenforce 1  ---启用selinux
[root@centos6 ~]#getenforce
Enforcing
配置文件:
/boot/grub/grub.conf  ---可以在这个文件中禁用
使用selinux=0禁用SELinux
/etc/selinux/config   ---也可以在这个文件中禁用或启用

2、selinux安全上下文

所有文件和端口资源和进程都具备安全标签，也被称为安全上下文（security context）,存放在inode节点表里的扩展属性
安全上下文有五个元素组成：
user:role:type:sensitivity:category
User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由（unconfined）进程
Role:定义文件，进程和用户的用途：文件:object_r，进程和用户：system_r
Type:指定数据类型，规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用：public_content_t
Sensitivity:限制访问的需要，由组织定义的分层安全级别，如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级，s0最低,Target策略默认使用s0
Category：对于特定组织划分不分层的分类，如FBI Secret，NSA secret, 一个对象可以有多个categroy，c0-c1023共1024个分类，Target 策略不使用category

[root@centos6 app]#ll -Z   ---可以显示文件的扩展属性，也就是安全
标签，文件的权限后面有个点，表示有selinux策略，表示有安全标签
-rwxr-xr-x. root root unconfined_u:object_r:file_t:s0  copycmd.sh
-rw-------. root root unconfined_u:object_r:default_t:s0 f1.nPle
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 ff
-rw-r--r--. root root system_u:object_r:default_t:s0   fstab
-rw-------. root root system_u:object_r:default_t:s0   grub.conf
-rwxr-xr-x. root root system_u:object_r:default_t:s0   init
[root@centos6 app]#ps auxZ ---显示进程的安全标签
LABEL                           USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
system_u:system_r:init_t:s0     root          1  0.0  0.1  19364  1536 ?        Ss   10:56   0:01 /sbin/init
[root@centos6 app]#ll -Z /var/log/messages  ---显示文件的安全标签
-rw-------. root root system_u:object_r:var_log_t:s0   /var/log/messages
[root@centos6 app]#semanage fcontext -l |grep "/var/log/messages"   
 ---查看系统期望的安全上下文，发现实际和期望的是一样的
系统期望的安全上下文存放在二进制的SELinux策略库中
/var/log/messages[^/]*                             all files          system_u:object_r:var_log_t:s0 
[root@centos6 app]#cp -a /var/log/messages .  ---把这个文件备份到当前目录
[root@centos6 app]#ll -Z messages   ---我们发现安全上下文没有发生变化
-rw-------. root root system_u:object_r:var_log_t:s0   messages
[root@centos6 app]#cp /var/log/messages ./messages1f   ---但不
加-a选项时，我们发现安全上下文发生改变了，说明cp的时候会改变安全上下文
[root@centos6 app]#ll -Z messages1f
-rw-------. root root unconfined_u:object_r:default_t:s0 messages1f
如果安全上下文件发生改变，不是系统期望的安全上下文时，有些进
程就可能访问不了这个文件，造成服务发生故障。
[root@centos6 app]#mv messages1f /root   
[root@centos6 app]#cd 
[root@centos6 ~]#ls
anaconda-ks.cfg  install.log  install.log.syslog  messages1f  nohup.out
[root@centos6 ~]#ll -Z messages1f   ---移动是安全上下文没有发生改变
-rw-------. root root unconfined_u:object_r:default_t:s0 messages1f

3、修改文件的安全标签

[root@centos6 app]#semanage fcontext -l |grep "/var/log/messages"    ---期望的安全上下文标签
/var/log/messages[^/]*                             all files          system_u:object_r:var_log_t:s0 
[root@centos6 app]#ll -Z messages ---目前的安全标签
-rw-------. root root unconfined_u:object_r:default_t:s0 messages
[root@centos6 app]#chcon -u system_u: -t var_log_t messages 
chcon: failed to set user security context component to `system_u:': Invalid argument
[root@centos6 app]#chcon -u system_u -t var_log_t messages ---修改安全标签
[root@centos6 app]#ll -Z messages 
-rw-------. root root system_u:object_r:var_log_t:s0   messages
[root@centos6 app]#semanage fcontext -a -t default_t '/app(/.*)?'
表示对于/app这个目录或者这个目录下文件，把 default_t这个安全标
签添加到SELinux策略数据库中，此时这个标签就是这个目录或者这
个目录下文件的期望安全上下文。(/.*)?表示/后面加任意字符串，可
有可无，就是说对于/app这个目录或者这个目录下的文件设置期望的安全上下文
[root@centos6 app]#restorecon -Rv /app   ---将这个目录和这个目录
下的所有文件和恢复为期望的安全上下文 -R 是递归，v是显示过程
[root@centos6 app]#semanage fcontext -l |grep "/app"   ---查看期望的安全上下文
/usr/lib/oracle/xe/apps(/.*)?                      all files          system_u:object_r:bin_t:s0 
/usr/share/rhn/rhn_applet/applet\.py               regular file       system_u:object_r:bin_t:s0 
/usr/share/system-config-printer/applet\.py        regular file       system_u:object_r:bin_t:s0 
/app(/.*)?                                         all files          system_u:object_r:default_t:s0 
[root@centos6 app]#semanage fcontext -d -t default_t '/app(/.*)?'  ---从SELinux策略数据库中删除安全上下文
[root@centos6 app]#semanage fcontext -l |grep "/app"
/usr/lib/oracle/xe/apps(/.*)?                      all files          system_u:object_r:bin_t:s0 
/usr/share/rhn/rhn_applet/applet\.py               regular file       system_u:object_r:bin_t:s0 
/usr/share/system-config-printer/applet\.py        regular file       system_u:object_r:bin_t:s0

4、修改端口的安全标签

查看端口标签
semanage port –l
添加端口
semanage port -a -t port_label -p tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
删除端口
semanage port -d -t port_label -p tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
修改现有端口为新标签
semanage port -m -t port_label -p tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527
举例
[root@centos6 app]#semanage port -a -t http_port_t -p tcp 9527
[root@centos6 app]#semanage port -l|grep "http"
http_cache_port_t              tcp      3128, 8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      9527, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989

5、SELinux布尔值

布尔型规则：
getsebool
setsebool
查看bool命令：
getsebool[-a] [boolean]
semanageboolean–l
semanageboolean-l –C 查看修改过的布尔值
设置bool值命令：
setsebool[-P] booleanvalue（on,off）
setsebool[-P] Boolean=value（0，1）
举例

[root@centos6 app]#getsebool -a |grep ftp  ---查看布尔值
allow_ftpd_anon_write --> off   ---允许ftp匿名写
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_use_fusefs --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_use_cifs --> off
tftp_use_nfs --> off
[root@centos6 app]#setsebool allow_ftpd_anon_write on   ---修改布尔值，加上-p
选项就是永久修改，不然开启重启就失效了
[root@centos6 app]#getsebool -a |grep ftp
allow_ftpd_anon_write --> on
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_use_fusefs --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_use_cifs --> off
tftp_use_nfs --> off