Linux--NiaoGe-Service-07网络安全与主机基本防护

 Linux系统内自带的防火墙有两层:

第一层:数据包过滤防火墙:IP Filtering和Net Filter

要进入Linux本机的数据包都会先通过Linux预先内置的防火墙(Net Filter),Net Filter是由iptables这个软件提供的,主要针对TCP/IP的数据包头部来进行过滤的机制,主要分析的是OSI的第2、3、4层,主要控制的是MAC、IP、ICMP、TCP与UDP等。

第二层:TCP Wrappers

通过NetFilter之后,网络数据包会开始接受Super Daemons及TCP Wrappers的检验。通俗的说,就是/etc/host.allow与/etc/host.deny的配置文件功能,这个功能也是针对TCP的Header进行再次分析,同理,用户也可以自定义一些机制来过滤某些IP或port,来来源端的数据包被丢弃或通过检验。

除此之外,减少信息暴露的机会、建立严格的密码设置规则、完善权限设置、关闭不需要的网络服务、及时更新系统、关闭不需要的软件功能等。

不要安装不明来源的软件,不要下载不明网站的文件数据等;不要让系统有过多的危险命令,如SUID/SGID等;定时使用RKHunter等类似的软件检查系统;

CentOS的yum软件更新过程

yum的功能

[root@www ~]# yum [option] [查询的工作项目] [相关参数]
选项与参数:
-y:默认yes
查询的工作项目:、
install:指定安装软件的名称,所以后面需接软件名称
update:进行整体升级行为;当然也可以借某个软件的名称,仅升级一个软件
remove:删除某个软件,remove后接要删除的软件名称
search:搜寻某个软件或是重要关键字
list:列出目前yum所管理的所有软件名称与版本,有点类似rpm -qa
info:类似rpm -qai的执行结果
clean :下载文件爱你被放到/var/cache/yum,可使用clean将它移除,可清除的项目有package|headers|metadata|cache等
grouplist:列出所有可使用的软件组,如Development Tools之类的
groupinfo:后接group_name则可了解该group内含的所有软件名
groupinstall:安装某个软件组,也常与--installroot=/some/path共享来安装系统更新
groupremove:删除某个软件组

实例1 搜寻CentOS官网提供的软件名称与raid相关

[root@www ~]# yum search raid
已加载插件:fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.shu.edu.cn
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.shu.edu.cn
base                                                        | 3.7 kB     00:00     
c6-media                                                    | 4.0 kB     00:00 ... 
extras                                                      | 3.4 kB     00:00     
updates                                                     | 3.4 kB     00:00     
================================ N/S Matched: raid ================================
dmraid.i686 : dmraid (Device-mapper RAID tool and library)
dmraid.x86_64 : dmraid (Device-mapper RAID tool and library)
dmraid-devel.x86_64 : Development libraries and headers for dmraid.
dmraid-events-logwatch.x86_64 : dmraid logwatch-based email reporting
dmraid-events.x86_64 : dmevent_tool (Device-mapper event tool) and DSO
firstaidkit-plugin-mdadm-conf.noarch : Firstaidkit plugin to diagnose software raid
                                     : configuration file
mdadm.x86_64 : The mdadm program controls Linux md devices (software RAID arrays)

  Name and summary matches only, use "search all" for everything.
[root@www ~]# yum search all raid
已加载插件:fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.shu.edu.cn
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.shu.edu.cn
================================== Matched: raid ==================================
dmraid.i686 : dmraid (Device-mapper RAID tool and library)
dmraid.x86_64 : dmraid (Device-mapper RAID tool and library)
dmraid-devel.x86_64 : Development libraries and headers for dmraid.
dmraid-events-logwatch.x86_64 : dmraid logwatch-based email reporting
dmraid-events.x86_64 : dmevent_tool (Device-mapper event tool) and DSO
mdadm.x86_64 : The mdadm program controls Linux md devices (software RAID arrays)
firstaidkit-plugin-mdadm-conf.noarch : Firstaidkit plugin to diagnose software raid
                                     : configuration file
gnome-disk-utility.x86_64 : Disk management application
lvm2.x86_64 : Userland logical volume management tools
sgpio.x86_64 : SGPIO captive backplane tool

实例2 根据实例1中的结果,如果想查询mdadm的功能是什么

[root@www ~]# yum info mdadm
已加载插件:fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.shu.edu.cn
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.shu.edu.cn
已安装的软件包
Name        : mdadm
Arch        : x86_64
Version     : 3.3.4
Release     : 8.el6
Size        : 805 k
Repo        : installed
From repo   : anaconda-CentOS-201703281317.x86_64
Summary     : The mdadm program controls Linux md devices (software RAID arrays)
URL         : http://www.kernel.org/pub/linux/utils/raid/mdadm/
License     : GPLv2+
Description : The mdadm program is used to create, manage, and monitor Linux MD
            : (software RAID) devices.  As such, it provides similar functionality
            : to the raidtools package.  However, mdadm is a single program, and it
            : can perform almost all functions without a configuration file, though
            : a configuration file can be used to help with some common tasks.

实例3 假如记不起某个软件的全程

[root@www ~]# yum list javacc*
已加载插件:fastestmirror, security
Loading mirror speeds from cached hostfile
 * base: mirrors.shu.edu.cn
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.shu.edu.cn
可安装的软件包
javacc.x86_64                               4.1-0.5.el6                        base
javacc-demo.x86_64                          4.1-0.5.el6                        base
javacc-manual.x86_64                        4.1-0.5.el6                        base
安装试试
[root@www ~]# yum install -y javacc
已加载插件:fastestmirror, security
设置安装进程
Loading mirror speeds from cached hostfile
 * base: mirrors.shu.edu.cn
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.shu.edu.cn
解决依赖关系
--> 执行事务检查
---> Package javacc.x86_64 0:4.1-0.5.el6 will be 安装
--> 处理依赖关系 java-gcj-compat >= 1.0.31,它被软件包 javacc-4.1-0.5.el6.x86_64 需要
--> 处理依赖关系 java-gcj-compat >= 1.0.31,它被软件包 javacc-4.1-0.5.el6.x86_64 需要
--> 处理依赖关系 libgcj_bc.so.1()(64bit),它被软件包 javacc-4.1-0.5.el6.x86_64 需要
--> 执行事务检查
---> Package java-1.5.0-gcj.x86_64 0:1.5.0.0-29.1.el6 will be 安装
--> 处理依赖关系 sinjdoc,它被软件包 java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64 需要
---> Package libgcj.x86_64 0:4.4.7-23.el6 will be 安装
--> 执行事务检查
---> Package sinjdoc.x86_64 0:0.5-9.1.el6 will be 安装
--> 处理依赖关系 java_cup >= 0.10,它被软件包 sinjdoc-0.5-9.1.el6.x86_64 需要
--> 执行事务检查
---> Package java_cup.x86_64 1:0.10k-5.el6 will be 安装
--> 完成依赖关系计算

依赖关系解决

===================================================================================
 软件包                 架构           版本                     仓库          大小
===================================================================================
正在安装:
 javacc                 x86_64         4.1-0.5.el6              base         895 k
为依赖而安装:
 java-1.5.0-gcj         x86_64         1.5.0.0-29.1.el6         base         139 k
 java_cup               x86_64         1:0.10k-5.el6            base         197 k
 libgcj                 x86_64         4.4.7-23.el6             base          19 M
 sinjdoc                x86_64         0.5-9.1.el6              base         705 k

事务概要
===================================================================================
Install       5 Package(s)

总下载量:20 M
Installed size: 68 M
下载软件包:
(1/5): java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64.rpm           | 139 kB     00:00     
(2/5): java_cup-0.10k-5.el6.x86_64.rpm                      | 197 kB     00:00     
(3/5): javacc-4.1-0.5.el6.x86_64.rpm                        | 895 kB     00:00     
(4/5): libgcj-4.4.7-23.el6.x86_64.rpm                       |  19 MB     00:09     
(5/5): sinjdoc-0.5-9.1.el6.x86_64.rpm                       | 705 kB     00:00     
-----------------------------------------------------------------------------------
总计                                               2.0 MB/s |  20 MB     00:10     
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
  正在安装   : libgcj-4.4.7-23.el6.x86_64                                      1/5 
  正在安装   : java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64                          2/5 
  正在安装   : 1:java_cup-0.10k-5.el6.x86_64                                   3/5 
  正在安装   : sinjdoc-0.5-9.1.el6.x86_64                                      4/5 
  正在安装   : javacc-4.1-0.5.el6.x86_64                                       5/5 
  Verifying  : javacc-4.1-0.5.el6.x86_64                                       1/5 
  Verifying  : sinjdoc-0.5-9.1.el6.x86_64                                      2/5 
  Verifying  : libgcj-4.4.7-23.el6.x86_64                                      3/5 
  Verifying  : 1:java_cup-0.10k-5.el6.x86_64                                   4/5 
  Verifying  : java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64                          5/5 

已安装:
  javacc.x86_64 0:4.1-0.5.el6                                                      

作为依赖被安装:
  java-1.5.0-gcj.x86_64 0:1.5.0.0-29.1.el6      java_cup.x86_64 1:0.10k-5.el6     
  libgcj.x86_64 0:4.4.7-23.el6                  sinjdoc.x86_64 0:0.5-9.1.el6      

完毕!

实例4 查看系统的软件组有多少个

[root@www ~]# LANG=C yum grouplist
Loaded plugins: fastestmirror, security
Setting up Group Process
Loading mirror speeds from cached hostfile
 * base: mirrors.shu.edu.cn
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.shu.edu.cn
base/group_gz                                               | 242 kB     00:00     
c6-media/group_gz                                           | 226 kB     00:00 ... 
Installed Groups: 已安装的软件组
   Additional Development
   Base
   CIFS file server
   Compatibility libraries
   ......省略.......  
   Security Tools
   Server Platform
Installed Language Groups: 已安装的语言
   Arabic Support [ar]
   Armenian Support [hy]
   Chinese Support [zh]
   ....省略.....
   Tajik Support [tg]
Available Groups:尚未安装的软件组
   Backup Client
   .....省略.....
   Upper Sorbian Support [hsb]
   Urdu Support [ur]
   Uzbek Support [uz]
   Venda Support [ve]
   Vietnamese Support [vi]
   Walloon Support [wa]
   Welsh Support [cy]
   Xhosa Support [xh]
   Zulu Support [zu]
Done

实例 5 Desktop Platform内含多少个rpm软件

[root@www ~]# yum groupinfo "Desktop Platform"
已加载插件:fastestmirror, security
设置组进程
Loading mirror speeds from cached hostfile
 * base: mirrors.shu.edu.cn
 * extras: mirrors.cqu.edu.cn
 * updates: mirrors.shu.edu.cn

组:桌面平台
 描述:支持的用于红帽企业版 Linux 桌面平台的程序库。
 必要的软件包:
   atk
   cairo
   dbus
   dbus-libs
   fontconfig
   ....省略.....
   qt
   qt3
   redhat-lsb-graphics
   redhat-lsb-printing
 可选的软件包:
   qt-mysql
   qt-odbc
   qt-postgresql
   qt3-MySQL
   qt3-ODBC
   qt3-PostgreSQL

安装的话直接使用yum groupinstall "Desktop Platform"来安装。

设置系统自动更新

[root@www ~]# crontab -e

30 4 * * * root yum -y update && yum clean packages

自定义镜像站点

对于自定义的景象站点,比较重要的一个目录是repodata,该目录是分析rpm软件后所产生的软件属性相依数据放置处。
国内可以使用的镜像站点:
http://mirrors.ustc.edu.cn/centos/  科大
https://mirrors.tuna.tsinghua.edu.cn/centos/   清华
https://mirrors.aliyun.com/centos/  阿里云
http://mirrors.163.com/centos/ 网易
其他自己可以搜索。
[root@www ~]# ls /etc/yum.repos.d/
CentOS-Base.repo       CentOS-fasttrack.repo  CentOS-Vault.repo
CentOS-Debuginfo.repo  CentOS-Media.repo
[root@www ~]# vim  /etc/yum.repos.d/CentOS-Base.repo  //自定义的话,只需将这个文件内的原来的连接替换成上面的连接即可。
查看当前系统版本号
[root@www ~]# cat /etc/redhat-release 
CentOS release 6.10 (Final)
以USTC为例,USTC提供了文件模板
连接http://mirrors.ustc.edu.cn/help/centos.html
[root@www ~]# yum repolist all | grep repolist
repolist: 13,572
当本地缓存里的数据与yum服务器的列表不同步的时候,可以使用以下方法
[root@www ~]# yum clean [packages | headers | all]
选项与参数
packages:将已经下载的软件文件删除
headers:将下载的软件头删除
all:将所有的容器数据都删除
范例:删除已下载过的所有容器的相关数据(含软件本身列表)
[root@www ~]# yum clean all

限制连接端口(port)

服务器端启动的监听端口所对应的服务是固定的,如www的port80、FTP的port21、Email的port25.

一般主机会有65536个port,这些port以1024为界,只有root才能启动保留的port,在小于1024的端口,都是以root身份才能启动的,这些port主要是用于一些常见的通信服务,在Linux系统中,常见的协议与port对应关系记录在/etc/services文件里面。

大于1024用户Client端的Port:大于1024以上的Port主要是作为Client端的软件激活端口。

是否需要三次握手

建立可靠的连接服务需要使用到TCP协议,也就是需要所谓的三次握手,如果是非面向连接的服务,如DNS与视频系统,则只需UDP协议即可。

通信协议可以启用在非正规的Port

比如说:通常情况下WWW的默认启动的port是80,那么我们也可以通过修改配置文件,使之启动在其他port上,如8088,8008等,更改过端口口,客户端访问时只需在IP后面加port即可。

端口查看命令:netstat、nmap

列出正在监听的网络服务

[root@www ~]# netstat -lntu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      
tcp        0      0 0.0.0.0:445                 0.0.0.0:*                   LISTEN
......省略.....

列出已经连接的网络状态

[root@www ~]# netstat -tun
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State      
tcp        0     64 192.168.30.12:22            192.168.30.1:5009           ESTABLISHED

删除已建立或正在监听当中的连接

[root@www ~]# netstat -tunp 
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0     64 192.168.30.12:22            192.168.30.1:5009           ESTABLISHED 2147/sshd           
[root@www ~]# kill -9 port

nmap的安装和使用

[root@www ~]# yum install -y nmap
[root@www ~]# nmap [扫描类型] [扫描参数] [hosts 地址与范围]
选项与参数:
扫描类型:
-sT:扫描TCP数据包已建立的连接connect()
-sS:扫面TCP数据包带有SYN卷标的数据
-sP:以ping的方式进行扫描
-sU:以UDP的数据包格式进行扫描
-sO:以IP的协议(protocol)进行主机的扫描
扫描参数:
-PT:使用TCP里头的ping的方式进行扫描,可以获知目前有几台计算机存在(较常用)
-PI:使用实际的ping(带有ICMP数据包的)来进行扫描
-p:这个port range,如1024-、80-102330000-60000等的使用方式
Hosts地址与范围:
192.168.1.100:直接写入HOST IP而已,仅检查一台
192.168.1.0/24:为C Class的形态
192.168.*.*:扫描B类地址
192.168.1.0-5060-100103200:这种变形是的主机范围

使用默认参数扫描本机所启用的port(只会扫描TCP)

[root@www ~]# nmap localhost

Starting Nmap 5.51 ( http://nmap.org ) at 2018-09-10 19:18 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000050s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 994 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
111/tcp open  rpcbind
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds

扫描本机的TCP/UDP端口

[root@www ~]# nmap -sTU localhost

Starting Nmap 5.51 ( http://nmap.org ) at 2018-09-10 19:20 CST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00083s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 1989 closed ports
PORT    STATE         SERVICE
22/tcp  open          ssh
25/tcp  open          smtp
111/tcp open          rpcbind
139/tcp open          netbios-ssn
445/tcp open          microsoft-ds
631/tcp open          ipp
68/udp  open|filtered dhcpc
111/udp open          rpcbind
137/udp open          netbios-ns
138/udp open|filtered netbios-dgm
631/udp open|filtered ipp

Nmap done: 1 IP address (1 host up) scanned in 1.34 seconds

通过ICMP数据包的检测,分析局域网内有几台主机是启动的

[root@www ~]# nmap -sP 192.168.30.0/24

Starting Nmap 5.51 ( http://nmap.org ) at 2018-09-10 19:23 CST
Nmap scan report for 192.168.30.1
Host is up (0.00013s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.30.2
Host is up (0.00014s latency).
MAC Address: 00:50:56:F8:1A:6B (VMware)
Nmap scan report for 192.168.30.9
Host is up (0.000076s latency).
MAC Address: 00:0C:29:CF:02:BA (VMware)
Nmap scan report for 192.168.30.11
Host is up (0.00020s latency).
MAC Address: 00:0C:29:C6:12:12 (VMware)
Nmap scan report for www.xueji.com (192.168.30.12)
Host is up.
Nmap scan report for 192.168.30.13
Host is up (0.000064s latency).
MAC Address: 00:0C:29:C6:12:12 (VMware)
Nmap scan report for 192.168.30.254
Host is up (0.000038s latency).
MAC Address: 00:50:56:FA:92:FA (VMware)
Nmap done: 256 IP addresses (7 hosts up) scanned in 7.48 seconds

如果是想要将各个主机的启动Port做一番检测的话,使用如下命令:

[root@www ~]# nmap 192.168.30.0/24

stand alone与super daemon

stand alone:是直接执行该服务的可执行文件,让该文件直接加载到内存当中运行,用这种方式来启动的优点是可以让服务具有较快速的相应。一般来说,这种哦哦那个服务的启动script都会放置到/etc/init.d/这个目录下,所以通常可以使用/etc/init.d/service name restart来重启service name。

super daemon:用一个超级服务作为总管来统一管理某些特殊的服务,在CentOS 6.x系列中使用的是xinetd这个super daemon,这种方式启动的网络服务虽然在响应速度上会比较慢,但是,可以动过super daemon额外提供一些管理,如控制何时启动、何时可以进行连接、哪个IP可以连进来、是否允许同时连接的等。通常个别服务的配置文件放置在/etc/xinetd.d/这个目录下,配置完成后需要/etc/init.d/xinetd restart来重新启动是配置生效。

实例 想知道系统中的port 111是否关闭了

root@www ~]# netstat -tnlp | grep 111
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1581/rpcbind        
tcp        0      0 :::111                      :::*                        LISTEN      1581/rpcbind        
[root@www ~]# which rpcbind
/sbin/rpcbind
[root@www ~]# rpm -qf /sbin/rpcbind 
rpcbind-0.2.0-16.el6.x86_64
[root@www ~]# rpm -qc rpcbind | grep init
/etc/rc.d/init.d/rpcbind
[root@www ~]# /etc/init.d/rpcbind stop
停止 rpcbind:                                             [确定]
[root@www ~]#

实例 启动系统中的Telnet服务

[root@www ~]# rpm -qa | grep telnet-server 首先查看系统中是否安装的了telenet服务
[root@www ~]# yum install -y telnet-server 
[root@www ~]# vim /etc/xinetd.d/telnet
# default: on
# description: The telnet server serves telnet sessions; it uses \
#       unencrypted username/password pairs for authentication.
service telnet
{
        flags           = REUSE
        socket_type     = stream
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        log_on_failure  += USERID
        disable         = no  原值yes,改为no
}
[root@www ~]# /etc/init.d/xinetd restart
停止 xinetd:                                              [失败]
正在启动 xinetd:                                          [确定]
[root@www ~]# netstat -tnlp | grep 23
tcp        0      0 :::23                       :::*                        LISTEN      3168/xinetd

常见的必须存在的系统服务

服务名称 服务内容
acpid 新版的电源管理模块,通常建议开启,某些笔记本电脑不支持,那就得关闭了。
atd 管理单一计划命令执行的服务,可以启动
crond 管理计划任务的重要服务,必须启动
haldaemon 用于检测系统硬件变更的服务,与USB设备关系很大
iptables Linux内建的防火墙,可以启动
network Linux的网络服务,如果不需要网络的话,那就不需要启动
postfix 系统内部的邮件传递服务,建议启动
rsyslog 系统的登录文件记录,建议启动
sshd 默认启动,远程连接用到
xinetd super Daemon,建议启动

 

 

 

 

 

 

 

 

 

 

 

SELinux相关

[root@www ~]# ls -Z 
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 bin
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 e1000e-3.4.2.1.tar.gz
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog
说明
中间用冒号隔开的分别表示
Identify:role:type即身份识别:角色:类型
身份识别(identify):账号方面的身份识别,主要有
    root:表示root的账号身份
    system_u:表示系统程序方面的识别,通常就是程序
    user_u:一般用户帐号相关的身份
角色(role):通过角色字段,我们可以知道这个数据是不是代表程序,文件资源还是用户
    object_r:代表的是文件或目录等文件资源,这是最常见的
    system_r:代表程序,不过,一般用户也会被指定为system_r.
类型(type):在默认的target策略中,identifiy与role字段基本上是不重要的,重要的在于这个类型(Type)字段,基本上,一个主体程序能不能呢个读取到这个文件资源,与类型字段有关,而类型字段在文件与程序中的定义不太相同,分别是:
    type:在文件资源(object)中成为类型(type)
    domain:在主体程序(subject)中则称为域(domain)
domain需要与type搭配,该程序才能够顺利地读取文件资源

程序与文件SELinux Type字段的相关性

身份识别 角色 该对应在target的意义
root system_r 代表供root账号登录时所取得的权限
system-u system_r 由于未系统账号,因此是非交互的系统运行程序
user_u system_r 一般可登录用户的程序

 

 

 

如上所述,最重要的自大unshi类型字段,主题与目标之间是否具有可以读写的权限,与程序的domain及文件的type有关,这两者的关系我们可以使用实现www服务功能的http程序与/var/www/html/网页存储目录来说明,首先,看看两者的安全性环境内容:

[root@www ~]# yum install -y httpd 
[root@www ~]# ls -Zd /usr/sbin/httpd  /var/www/html/
-rwxr-xr-x. root root system_u:object_r:httpd_exec_t:s0 /usr/sbin/httpd
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
注意两者的角色都是object_r,代表都是文件,而httpd属于httpd-exec_t类型,/var/www/html则属于httpd_sys_content_t这个类型
由以上信息克制,httpd属于httpd_exec_t这个可执行的类型,而/var/www/html/属于httpd_sys_content_t这个可以让httpd域(domain)读取的类型。

SELinux的启动、关闭与查看

值得注意的是,不是所有的Linux distribution都支持SELinux;

SELinux的三种模式:

enforcing:强制模式,代表SELinux已经启动,且已经开始限制domain/type了。

permissive:宽容模式,代表SELinux已经启动,但是只会发出警告并不会实际限制。

disabled:禁用,代表SELinux已经不再运行。

SELinux的状态的查看、更改

[root@www ~]# getenforce 
Enforcing
[root@www ~]# setenforce 0
[root@www ~]# getenforce 
Permissive
[root@www ~]# setenforce 1
[root@www ~]# getenforce 
Enforcing
[root@www ~]# vim /etc/selinux/config
......
SELINUX=disabled   //永久关闭
.......

如果在更改了SELinux的状态后,某些服务在启动的时候抛出没有权限读取/lib/xxx里面的数据时,解决办法:将SELinux重新设为Permissive的状态,使用”restorecon -Rv /“重新还原所有的SELinux的类型即可。

SELinux Type的修改

chcon命令

[root@www ~]# chcon [-R] [-t type] [-u user] [-r role] 文件
[root@www ~]# chcon [-R] --reference=范例文件 文件
选项与参数
-R:连同该目录下的子目录也同时修改
-t:后面接安全性环境的类型字段,如httpd_sys_content_t
-u:后面接身份识别,如system_u
-r:后面接角色,如system_r
--reference=范例文件:以某个文件为范例修改后续接的文件的文件类型

将/etc/hosts复制到/root/目录下,查看相关SELinux类型变化

[root@www ~]# cp /etc/hosts /root/
[root@www ~]# ls -dZ /etc/hosts /root/hosts  /root/
-rw-r--r--. root root system_u:object_r:net_conf_t:s0  /etc/hosts
dr-xr-x---. root root system_u:object_r:admin_home_t:s0 /root/
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /root/hosts
[root@www ~]# mv /root/hosts /tmp/
[root@www ~]# ls -dZ /tmp/ /tmp/hosts 
drwxrwxrwt. root root system_u:object_r:tmp_t:s0       /tmp/
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 /tmp/hosts
如何将/tmp/hosts变更为最原始的net_conf_t,就要用到chcon命令
[root@www ~]# chcon -t net_conf_t /tmp/hosts 
[root@www ~]# ls -lZ /tmp/hosts 
-rw-r--r--. root root unconfined_u:object_r:net_conf_t:s0 /tmp/hosts
#以/var/spool/mail为依据,将/tmp/hosts修改成该类型
[root@www ~]# ls -lZ /var/spool/mail/ 
-rw-------. root    mail system_u:object_r:mail_spool_t:s0 root
-rw-rw----. rpc     mail system_u:object_r:mail_spool_t:s0 rpc
-rw-rw----. student mail unconfined_u:object_r:mail_spool_t:s0 student
-rw-rw----. test    mail unconfined_u:object_r:mail_spool_t:s0 test
-rw-rw----. xueji01 mail unconfined_u:object_r:mail_spool_t:s0 xueji01
-rw-rw----. xueji02 mail unconfined_u:object_r:mail_spool_t:s0 xueji02
-rw-rw----. xueji03 mail unconfined_u:object_r:mail_spool_t:s0 xueji03
-rw-rw----. xueji04 mail unconfined_u:object_r:mail_spool_t:s0 xueji04
-rw-rw----. xueji05 mail unconfined_u:object_r:mail_spool_t:s0 xueji05
[root@www ~]# chcon --reference=/var/spool/mail/ /tmp/hosts 
[root@www ~]# ls -lZ /tmp/hosts 
-rw-r--r--. root root system_u:object_r:mail_spool_t:s0 /tmp/hosts

恢复原有的SELinux Type命令:restorecon

[root@www ~]# restorecon [-Rv] 文件或目录
选项与参数
-R:连同子目录一起修改
-v :将过程显示到屏幕上

实例 将/tmp/hosts移动至/root并以默认的安全性环境修正过来

[root@www ~]# mv /tmp/hosts /root/
[root@www ~]# ls -lZ /root/hosts 
-rw-r--r--. root root system_u:object_r:mail_spool_t:s0 /root/hosts
[root@www ~]# restorecon -Rv /root/
restorecon reset /root/hosts context system_u:object_r:mail_spool_t:s0->system_u:object_r:admin_home_t:s0

通过semanage查询与修改默认的SELinux Type类型

[root@www ~]# yum provides */semanage
已加载插件:fastestmirror, security
Loading mirror speeds from cached hostfile
base/filelists_db                                           | 6.4 MB     00:03     
c6-media/filelists_db                                       | 6.3 MB     00:00 ... 
extras/filelists_db                                         |  24 kB     00:00     
updates/filelists_db                                        | 852 kB     00:00     
libsemanage-devel-2.0.43-5.1.el6.x86_64 : Header files and libraries used to build
                                        : policy manipulation tools
Repo        : base
匹配来自于:
Filename    : /usr/include/semanage
libsemanage-devel-2.0.43-5.1.el6.i686 : Header files and libraries used to build
                                      : policy manipulation tools
Repo        : base
匹配来自于:
Filename    : /usr/include/semanage
policycoreutils-python-2.0.83-30.1.el6_8.x86_64 : SELinux policy core python
                                                : utilities
Repo        : base
匹配来自于:
Filename    : /usr/sbin/semanage
policycoreutils-python-2.0.83-30.1.el6_8.x86_64 : SELinux policy core python
                                                : utilities
Repo        : c6-media
匹配来自于:
Filename    : /usr/sbin/semanage
libsemanage-devel-2.0.43-5.1.el6.i686 : Header files and libraries used to build
                                      : policy manipulation tools
Repo        : c6-media
匹配来自于:
Filename    : /usr/include/semanage
libsemanage-devel-2.0.43-5.1.el6.x86_64 : Header files and libraries used to build
                                        : policy manipulation tools
Repo        : c6-media
匹配来自于:
Filename    : /usr/include/semanage
[root@www ~]# yum install -y policycoreutils-python

semanage命令

[root@www ~]# semanage {login | user | port | interface | fcontext | translation} -l
[root@www ~]# semanage fcontext -{a|d|m} -[frst] file_spec
选项与参数:
fcontext:主要用在安全性环境方面,-l为查询的意思
-a:增加,用户可以增加一些目录的默认安全性环境类型设置
-m:修改
-d:删除

实例 查询/var/www的默认安全性环境的设置

[root@www ~]# semanage fcontext -l | grep '/var/www'
/var/www(/.*)?                                     all files          system_u:object_r:httpd_sys_content_t:s0 
/var/www/[^/]*/cgi-bin(/.*)?                       all files          system_u:object_r:httpd_sys_script_exec_t:s0 
........省略........

实例 利用semanage设置/srv/xueji/目录的默认安全性环境为public_content_t

[root@www ~]# mkdir /srv/xueji
[root@www ~]# ls -lZd /srv/xueji/
drwxr-xr-x. root root unconfined_u:object_r:var_t:s0   /srv/xueji/
[root@www ~]# semanage fcontext -l | grep '/srv/'
/srv/.*                                            all files          system_u:object_r:var_t:s0 
/srv/([^/]*/)?ftp(/.*)?                            all files          system_u:object_r:public_content_t:s0 
..........省略.........
[root@www ~]# semanage fcontext -a -t public_content_t "/srv/xueji(/.*)?"
[root@www ~]# semanage fcontext -l | grep '/srv/xueji'
/srv/xueji(/.*)?                                   all files          system_u:object_r:public_content_t:s0
[root@www ~]# cat /etc/selinux/targeted/contexts/files/file_contexts.local 
# This file is auto-generated by libsemanage
# Do not edit directly.

/srv/xueji(/.*)?    system_u:object_r:public_content_t:s0
恢复默认值
[root@www ~]# restorecon -Rv /srv/xueji*
restorecon reset /srv/xueji context unconfined_u:object_r:var_t:s0->unconfined_u:object_r:public_content_t:s0
[root@www ~]# ls -lZd /srv/xueji/
drwxr-xr-x. root root unconfined_u:object_r:public_content_t:s0 /srv/xueji/

SELinux策略内的规则与布尔值

[root@www ~]# yum provides */seinfo
已加载插件:fastestmirror, security
Loading mirror speeds from cached hostfile
setools-console-3.3.7-4.el6.x86_64 : Policy analysis command-line tools for SELinux
Repo        : base
匹配来自于:
Filename    : /usr/bin/seinfo
setools-console-3.3.7-4.el6.x86_64 : Policy analysis command-line tools for SELinux
Repo        : c6-media
匹配来自于:
Filename    : /usr/bin/seinfo
[root@www ~]# yum install -y setools-console

seinfo命令用来查阅targetd策略

[root@www ~]# seinfo [-Atrub]
选项与参数
-A:列出SELinux的状态、规则布尔值、身份识别、角色、类别等所有信息
-t:列出SELinux的所有类别(type)种类
-r:列出SELinux的所有角色(role)种类
-u:列出SELinux的所有身份识别(user)种类
-b:列出所有规则的种类(布尔值)

实例 列出SELinux在此策略下统计状态

[root@www ~]# seinfo 

Statistics for policy file: /etc/selinux/targeted/policy/policy.24
Policy Version & Type: v.24 (binary, mls)

   Classes:            81    Permissions:       238
   Sensitivities:       1    Categories:       1024
   Types:            3920    Attributes:        295
   Users:               9    Roles:              12
   Booleans:          237    Cond. Expr.:       277
   Allow:          323336    Neverallow:          0
   Auditallow:        141    Dontaudit:      274738
   Type_trans:      42431    Type_change:        38
   Type_member:        48    Role allow:         19
   Role_trans:        386    Range_trans:      6258
   Constraints:        90    Validatetrans:       0
   Initial SIDs:       27    Fs_use:             23
   Genfscon:           84    Portcon:           474
   Netifcon:            0    Nodecon:             0
   Permissives:        90    Polcap:              2

实例 列出与httpd有关的规则(Booleans)

[root@www ~]# seinfo -b | grep httpd
   httpd_manage_ipa
   httpd_run_stickshift
   httpd_use_fusefs
   httpd_use_openstack
   allow_httpd_mod_auth_pam
   ......省略......

查询详细规则适用sesearch

经过查询,sesearch也是由setool-console提供的
[root@www ~]# sesearch [--all] [-s 主体类别] [-t 目标类别] [-b 布尔值]
选项与参数
--all:列出该类别或布尔值的所有相关信息
-t:后接类别,如-t httpd_t
-b:后接布尔值的规则,如-b httpd_enable_ftp_server

实例 找出目标文件资源类别为httpd_sys_content_t的相关信息

[root@www ~]# sesearch --all -t httpd_sys_content_t
Found 802 semantic av rules:
   allow ntop_t httpd_sys_content_t : file { ioctl read getattr lock open } ;
   allow antivirus_domain httpd_sys_content_t : file { ioctl read getattr lock open } ;
   allow httpd_suexec_t httpd_sys_content_t : dir { getattr search open } ;
   allow ntop_t httpd_sys_content_t : dir { ioctl read getattr lock search open } ;
.........省略........

实例 查询布尔值httpd_enable_homedirs的规范

[root@www ~]# sesearch -b httpd_enable_homedirs --all > out2.txt
Found 46 semantic av rules:
   allow httpd_suexec_t home_root_t : dir { ioctl read getattr lock search open } ; 
   allow httpd_suexec_t home_root_t : lnk_file { read getattr } ;
.......省略.......

实例 布尔值的查询与修改

[root@www ~]# getsebool [-a] [布尔值条款]
选项与参数
-a:列出目前系统上面的所有布尔值条款设置为开启或关闭值
实例 查询当前系统内所有的布尔值设置状况
[root@www ~]# getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
allow_console_login --> on
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on
allow_daemons_use_tcp_wrapper --> off
.......省略.........
[root@www ~]# setsebool -[P] 布尔值=[0|1]
选项与参数
-P:直接将设置值写入配置文件,该设置数据未来会生效的
实例 查询httpd_enable_homedirs是否为on,若不为on,将其设为on,
[root@www ~]# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> off
[root@www ~]# setsebool -P httpd_enable_homedirs=1
[root@www ~]# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> on

SELinux日志文件记录所需的服务

1.setroubleshoot:将错误信息写入/var/log/messages

几乎所有SELinux相关的程序都是以se开头,setroubleshoot服务会将错误信息和解决办法记录到/var/log/messages和/var/log/setroubleshoot/*中,setroubleshoot的安装与启动如下

[root@www ~]# yum install -y setroubleshoot
[root@www ~]# /etc/init.d/auditd start
正在启动 auditd:
[root@www ~]# /etc/init.d/httpd start 
正在启动 httpd:                                           [确定]
[root@www ~]# netstat -tlnp | grep http
tcp        0      0 :::80                       :::*                        LISTEN      2337/httpd 
[root@www ~]# echo "My First SELinux Check " > index.html
[root@www ~]# ls -l index.html 
-rw-r--r--. 1 root root 24 9月  10 22:00 index.html
[root@www ~]# mv index.html /var/www/html/
[root@www ~]# links http://localhost/index.html --dump
                                   Forbidden

   You don't have permission to access /index.html on this server.

   --------------------------------------------------------------------------

    Apache/2.2.15 (CentOS) Server at localhost Port 80

[root@www ~]# cat /var/log/messages | grep setroubleshoot
Sep 10 21:47:05 www yum[2238]: Installed: setroubleshoot-plugins-3.0.40-4.1.el6.noarch
Sep 10 21:47:06 www yum[2238]: Installed: setroubleshoot-server-3.0.47-14.el6.x86_64
Sep 10 21:47:06 www yum[2238]: Installed: setroubleshoot-3.0.47-14.el6.x86_64
Sep 10 22:01:07 www setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html. For complete SELinux messages. run sealert -l 62c087fe-77ee-46f1-94b3-f78bff0cbf0b
Sep 10 22:01:07 www setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file /var/www/html/index.html. For complete SELinux messages. run sealert -l 62c087fe-77ee-46f1-94b3-f78bff0cbf0b
根据提示,解决问题
[root@www ~]# sealert -l 62c087fe-77ee-46f1-94b3-f78bff0cbf0b
SELinux is preventing /usr/sbin/httpd from getattr access on the 文件 /var/www/html/index.html.

*****  插件 restorecon (99.5 置信度) 建议  ******************************************

If 您想要修复标签。 
/var/www/html/index.html 默认标签应为 httpd_sys_content_t。
Then 您可以运行 restorecon。
Do
# /sbin/restorecon -v /var/www/html/index.html

*****  插件 catchall (1.49 置信度) 建议  ********************************************

If 您确定应默认允许 httpd getattr 访问 index.html file。
Then 您应该将这个情况作为 bug 报告。
您可以生成本地策略模块允许这个访问。
Do
请执行以下命令此时允许这个访问:
# grep httpd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp


更多信息:
源上下文                          unconfined_u:system_r:httpd_t:s0
目标上下文                         unconfined_u:object_r:admin_home_t:s0
目标对象                          /var/www/html/index.html [ file ]
源                             httpd
源路径                           /usr/sbin/httpd
端口                            <未知>
主机                            www.xueji.com
源 RPM 软件包                     httpd-2.2.15-69.el6.centos.x86_64
目标 RPM 软件包                    file /var/www/html/index.html is not owned by any
                              package
策略 RPM                        selinux-policy-3.7.19-312.el6.noarch
Selinux 已经激活                  True
策略类型                          targeted
强制模式                          Enforcing
主机名                           www.xueji.com
平台                            Linux www.xueji.com 2.6.32-754.3.5.el6.x86_64 #1
                              SMP Tue Aug 14 20:46:41 UTC 2018 x86_64 x86_64
警报计数                          2
第一个                           2018年09月10日 星期一 22时01分04秒
最后一个                          2018年09月10日 星期一 22时01分04秒
本地 ID                         62c087fe-77ee-46f1-94b3-f78bff0cbf0b

原始核查信息
type=AVC msg=audit(1536588064.275:77): avc:  denied  { getattr } for  pid=2341 comm="httpd" path="/var/www/html/index.html" dev=sda6 ino=2478 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file


type=SYSCALL msg=audit(1536588064.275:77): arch=x86_64 syscall=lstat success=no exit=EACCES a0=5604518a6488 a1=7ffe904c5470 a2=7ffe904c5470 a3=1 items=0 ppid=2337 pid=2341 auid=0 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm=httpd exe=/usr/sbin/httpd subj=unconfined_u:system_r:httpd_t:s0 key=(null)

Hash: httpd,httpd_t,admin_home_t,file,getattr

audit2allow

#============= httpd_t ==============
allow httpd_t admin_home_t:file getattr;

audit2allow -R

#============= httpd_t ==============
allow httpd_t admin_home_t:file getattr;
[root@www ~]# restorecon -Rv '/var/www/html/index.html'
restorecon reset /var/www/html/index.html context unconfined_u:object_r:admin_home_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
[root@www ~]# /etc/init.d/httpd restart 
停止 httpd:                                               [确定]
正在启动 httpd:                                           [确定]
[root@www ~]# links http://localhost/index.html --dump
   My First SELinux Check

用E-mail或在命令列上直接提供setroubleshoot错误信息

[root@www ~]# cp /etc/setroubleshoot/setroubleshoot.conf{,.bak}
[root@www ~]# vim /etc/setroubleshoot/setroubleshoot.conf
.....
recipients_filepath = /var/lib/setroubleshoot/email_alert_recipients //确保此行存在
..........
console = True //原值false改为True
[root@www ~]# cp /var/lib/setroubleshoot/email_alert_recipients{,.bak}
[root@www ~]# vim /var/lib/setroubleshoot/email_alert_recipient
root@localhost
xueji@163.com
[root@www ~]# /etc/init.d/auditd restart
停止 auditd:                                              [确定]
正在启动 auditd:                                          [确定]

一些特殊情况处理,如果因为一些原因,CentOS没有规范到setroubleshoot信息,可能还是无法了解到问题到底是出在哪里,此时建按如下处理:

1)在服务于rwx权限都没有问题,却无法正常使用网络服务时,先使用setenforce 0设置为宽容模式

2)再次使用该网络服务,如果正常,表明是SELinux出现问题,接着向下处理问题;如果仍不可用,则表明不是SELinux的问题,需要考虑其他方面。

3)分析/var/log/messages内的信息,找到sealert -l相关的信息并执行。

4)过滤Allow Access关键词,按照其中的动作来执行SELinux的错误解决办法

5)处理完成后,setenfoce 1,再次测试网络服务。

 

posted on 2018-09-10 14:16  Lucky_7  阅读(747)  评论(0编辑  收藏  举报

导航