使用selinux contexts

96
浪尖儿
0.2 2016.08.17 17:40* 字数 927

SELinux增强了Linux系统的安全,但是对于初学者来说很容易造成各种各样的错误,经常被搞的莫名其妙不知所措,最后只能祭出大招把SELinux一关了之。笔者也是初学者,也没有搞清楚其中的道理,只是了解点皮毛而已。本文只从chcon命令的使用结合几个例子简单回顾一下,更加深入的知识有待继续学习。

使用selinux contexts

SELinux增强了Linux系统的安全,但是对于初学者来说很容易造成各种各样的错误,经常被搞的莫名其妙不知所措,最后只能祭出大招把SELinux一关了之。笔者也是初学者,也没有搞清楚其中的道理,只是了解点皮毛而已。本文只从chcon命令的使用结合几个例子简单回顾一下,更加深入的知识有待继续学习。

chcon man page

NAME
chcon - change security context

SYNOPSIS
chcon [OPTION]... CONTEXT FILE...
chcon [OPTION]... --reference=RFILE FILE...

DESCRIPTION
Change the security context of each FILE to CONTEXT.

-c, --changes
like verbose but report only when a change is made

-h, --no-dereference
affect symbolic links instead of any referenced file (available
only on systems with lchown system call)

-f, --silent, --quiet
suppress most error messages

-l, --range
set range RANGE in the target security context

--reference=RFILE
use RFILE’s context instead of using a CONTEXT value

-R, --recursive
change files and directories recursively

-r, --role
set role ROLE in the target security context

-t, --type
set type TYPE in the target security context

-u, --user
set user USER in the target security context

-v, --verbose
output a diagnostic for every file processed

--help display this help and exit

--version
output version information and exit

REPORTING BUGS
Report bugs to <email@host.com>.

SEE ALSO
The full documentation for chcon is maintained as a Texinfo manual. If
the info and chcon programs are properly installed at your site, the
command

info chcon
should give you access to the complete manual.

SELinux 上下文 简介

在运行这SELinux的系统上,所有的进程和文件都以标记着一种安全相关的信息,这种信息就是SELinux Context(上下文)。可以使用下面的命令查看文件的上下文:

ls -Z file1
-rw-rw-r-- user1 group1 unconfined_u:object_r:user_home_t:s0 file1

在这个例子里面,SELinux提供了一个user (unconfined_u), 一个role (object_r), 一个type (user_home_t), 以及一个level (s0)。这个信息用来进行控制访问。SELinux实现了强制访问控制(MAC)的安全模式。在标准的Linux环境中开启了自由访问控制(Discretionary Access Control,DAC)后,这一机制就会在Linux内核中对所有操作的安全性进行检查。在DAC体系中,访问通过Linux用户ID和组ID进行控制,SELinux策略规则会在DAC规则之后进行检查。也就是说,如果DAC规则已经拒绝访问了,那么SELinux策略规则就不使用了。

有许多命令可以管理文件的SELnux上下文,例如chcon,semanage fcontext和restorecon。

chcon临时的改变

chcon命令可以临时的改变文件的上下文,也就是说如果文件系统relabel一下或者执行一下restorecon命令,上下文的改变就实效了。SELinux策略控制着用户能否修改一个文件的上下文。在适用chcon命令的时候用户要指定所有的或者部分的要改变的SELinux上下文。

改变一个文件或者文件夹的类型

下面这段只说明一下如何改变SELinux中的类型。这个我们假设file1是一个文件。当然,如果file1是一个文件夹的话也是适用的。

查看文件的上下文
~]# ls -Z file1
-rw-rw-r-- user1 group1 unconfined_u:object_r:user_home_t:s0 file1
改变文件的上下文
~]# chcon -t samba_share_t file1
~]# ls -Z file1
-rw-rw-r-- user1 group1 unconfined_u:object_r:samba_share_t:s0 file1
恢复文件的上下文
~]# restorecon -v file1
restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0

在使用RHEL6中默认的SELinux策略的时候,restore命令会读取/etc/selinux/targeted/contexts/files/文件夹中的文件,来查看文件应该拥有哪个SELinux上下文。

改变一个文件夹及其内容的类型

下面这个例子说明了如何把一个文件夹及其内容的类型改成Apache HTTP服务器使用的类型。当你想让Apache HTTP服务器使用一个不同的root文件夹的时候(默认的是/var/www/html/),这个配置就有派上用场了。

新建文件夹/web,并在其中新建三个文件file{1,2,3}:
~]# mkdir /web
~]# cd /web
~]# touch file{1,2,3}
/web/文件夹和里面的文件都具有default_t类型的标签:
~]# ls -dZ /web
drwxr-xr-x root root unconfined_u:object_r:default_t:s0 /web
~]# ls -lZ /web
-rw-r--r-- root root unconfined_u:object_r:default_t:s0 file1
-rw-r--r-- root root unconfined_u:object_r:default_t:s0 file2
-rw-r--r-- root root unconfined_u:object_r:default_t:s0 file3
使用chcon命令把/web/文件夹及其内容的类型改成httpd_sys_content_t:
~]# chcon -R -t httpd_sys_content_t /web/
使用restorecon命令来恢复默认的上下文:
~]# restorecon -R -v /web/
restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0

参考其他的文件来创建上下文

使用参数--reference来指定其他的文件
chcon -R --reference=RFILE FILE

参考文献

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html
http://wiki.centos.org/HowTos/SELinux
http://www.searchsv.com.cn/showcontent_44629.htm

Linux
Web note ad 1