一、SELinux简介% O8 g; Q/ E' s9 y$ h3 O
RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。SELinux的全称是Security-Enhanced Linux,是由美国国家安全局NSA开发的访问控制体制。SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大,举一个简单的例子可以证明:没有SELinux保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别则可以达到B1级。如:我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情况下,任何人都可以访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,但SELinux的安全策略会继续检查你是否可以访问。) F8 y& j+ r3 @' N9 w& |
NSA推出的SELinux安全体系结构称为 Flask,在这一结构中,安全性策略的逻辑和通用接口一起封装在与操作系统独立的组件中,这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性策略,由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器,可以支持不同的安全策略。SELinux使用策略配置语言定义安全策略,然后通过checkpolicy 编译成二进制形式,存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中,在内核引导时读到内核空间。这意味着安全性策略在每次系统引导时都会有所不同。# k4 C4 w, _" r9 h
SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。有限策略仅针对部分
9 {5 x' L. I4 p/ p& C 系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。有限策略模式下,9个(可能更多)系统服务受SELinux监控,几乎所有的网络服务都受控。* }6 F. t1 e x }8 ~
配置文件是/etc/selinux/config,一般测试过程中使用“permissive”模式,这样仅会在违反SELinux规则时发出警告,然后修改规则,最后由用户觉得是否执行严格“enforcing”的策略,禁止违反规则策略的行为。' B4 T0 B; _/ m1 m4 v# D2 P% \
规则决定SELinux的工作行为和方式,策略决定具体的安全细节如文件系统,文件一致性。" c$ f* A2 F! k- {4 U: L# e
在安装过程中,可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。
8 A/ M) t3 y: y* G# D 安装之后,可以在“应用程序”“系统设置”“安全级别”,或者直接在控制台窗口输入“system/ C9 G4 V% I! L( h
-config- securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中,我们不但可以设置“" R! Y9 `2 m4 Q4 f: w ]. `
启用”或者“禁用”SELinux,而且还可以对已经内置的SELinux策略进行修改。
* O# x B( {2 p1 I" O7 H; N& {/ { SELinux相关命令:
7 u" Q- A) r! i8 L" N2 F ls -Z# N1 ^* e* r) k. @) P T
ps -Z- _( P0 x, s* u. H$ ~* a- t! v! x
id -Z4 s8 {1 w6 ~2 P- X( h G
分别可以看到文件,进程和用户的SELinux属性。
7 `! n) X+ z* W8 R5 k/ [+ Y' h0 g chcon 改变文件的SELinux属性。, y0 Y& a5 i; \. ~! t9 Y2 p, K
getenforce/setenforce查看和设置SELinux的当前工作模式。
0 O% P, |( Z5 f8 P4 M7 H 修改配置文件/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。6 d5 v9 k v0 T: E! @
二、案例分析
& B0 u0 r0 G y D% b+ [ Apache - "Document root must be a directory" 问题?5 ^# b% P/ ? p/ |: p" R
有可能和这个问题并发的问题还有 403 Forbidden 禁止访问的问题。2 h' @ Z5 v& ~/ O
现象描述:
& x. R) ^% P; M! ]5 v: f& k2 D0 ] 不使用系统默认的 /var/www/html作为系统的Document Root,自己新建一个目录后修改
6 Y" C. S+ ]; }3 R5 r* A& \ /etc/httpd/conf/httpd.conf 中的配置,然后重起Apache的Daemon,发现Apache无法起动,系统报错:- A0 q! B0 {7 f$ }, q
Document root must be a directory1 j& ^2 W) q5 F5 p
但是,我们设置的DocumentRoot 的确是一个目录,而且apache用户具有可读权限。$ G! E$ e' U. F
另一种情况:新建一个虚拟目录或文件后,无法访问,显示 Forbidden, 403 Error,但文件或目录有可读
" I$ p- R: _, d 权限。5 W; ~5 Q" n7 Y2 m
问题产生的原因:8 [" W/ H9 A! s! B5 b" B
一开始想来想去想不出为什么,但是给我感觉是权限的问题,用传统的Linux的思维方式来看,权限绝对没$ U! u3 _; j! U. U2 \
有问题。但是仔细一想,SELinux是不是会有其他安全的设定?
7 e) i* j8 V0 K/ p& A$ e) W 检查 avcmessage,查看 /var/log/messages文件,发现有类似以下内容的这样一段:( t3 a' |% W! j
Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:
. Q1 m5 E2 E l( {9 h. ~4 V denied{ getattr } forpid=19029 exe=/usr/sbin/httpd
- l; W' O7 L. e5 _, Q path=/var/www/html/about.html dev=dm-0 ino=3739003 c# Q/ w6 n! M8 C4 e4 }1 C
scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t
& R: b J, _- r% x( T8 { tclass=file
/ \- p. ` q. [, Y3 k, Z 嘿嘿,问题找到了,果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型,因此& ]: Y4 y1 D1 b* X
apache的进程没有权限,无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进6 h0 r0 U) G& ]6 P2 X5 d
程只能访问httpd_sys_content_t类型的目录或文件。4 @- H4 A3 P; a
解决办法:9 i8 ^$ f+ ?8 z2 `1 Q
很简单,把目录或文件的策略类型改成 httpd_sys_content_t 就可以了。
, [ I3 [# B9 y0 k' ~5 P. _& \4 e. I # chcon -t httpd_sys_content_t [file_name | dir_name]5 j& J% ~- F9 I1 i4 G( i$ M
然后可以用 ls -laZ 命令查看文件目录的策略类型。() |