02SELinux和firewalld防火墙的配置与管理电子课件 Linux网络服务器配置与管理.pptx
《02SELinux和firewalld防火墙的配置与管理电子课件 Linux网络服务器配置与管理.pptx》由会员分享,可在线阅读,更多相关《02SELinux和firewalld防火墙的配置与管理电子课件 Linux网络服务器配置与管理.pptx(77页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、SELinux和firewalld防火墙的配置与管理模块2模块2 SELinux和firewalld防火墙的配置与管理通过本模块的学习,读者应达到以下职业能力目标和要求。掌握SELinux工作模式的修改。掌握SELinux策略规则的查看和修改。掌握SELinux安全上下文修改和日志辅助。掌握SELin掌握firewalld防火墙需求设置。2.1 SELinux安全子系统2.1.1 了解SELinux系统账号主要分为系统管理员(root)和一般用户,而这两种身份能否使用系统的文件资源则与rwx权限的设置有关,当某个进程想要对文件进行读或写时,系统会根据该进程的拥有者和用户组比对文件的权限,只有通
2、过权限检查,才可以读或写该文件,但是各种权限设置对root是无效的。系统管理员(root)一般用户系统账号2.1 SELinux安全子系统2.1.1 了解SELinux这种读/写文件系统的方式称为主动访问控制(discretionary access control,DAC),其存在以下缺点:(1)root具有最高权限。如果某进程被别有用心的人获取,且该进程拥有root权限,那么这个进程就可以在系统上对任何资源进行读/写操作。(2)用户可通过进程来修改文件资源的访问权限。如果将某个目录的权限设置为777,该目录就会被任何人进行读/写操作。2.1 SELinux安全子系统2.1.2主体访问目标资
3、源流程SELinux是通过MAC的方式来管理进程的,它控制的主体是进程,而目标则是该进程能否读取的文件、套接字、网络主机等资源,具体的访问流程如图2-1所示。图2-1 主体访问目标资源的流程图2.1 SELinux安全子系统2.1.3 SELinux工作模式SELinux有enforcing、permissive和disabled三种配置模式,有targeted、minimum和mls三种策略类型,三种配置模式与实际运行流程如图2-2所示。图2-2 SELinux三种配置模式与实际运行流程2.1 SELinux安全子系统2.1.3 SELinux工作模式1.SELinux的启动、关闭与查看SE
4、Linux是预先配置的,可以在不进行任何手动配置的情况下使用其功能,不过预先配置的 SELinux 很难满足所有Linux系统的安全需求。SELinux有三种配置模式,具体如下:(1)enforcing:强制启用安全策略模式,将拦截服务的不合法请求。(2)permissive:遇到服务越权访问时,只发出警告而不强制拦截。(3)disabled:对于越权的行为,不警告也不拦截。2.1 SELinux安全子系统2.1.3 SELinux工作模式1.SELinux的启动、关闭与查看SELinux有三种策略类型,具体如下:(1)targeted(2)minimum(3)mls2.1 SELinux安全
5、子系统2.1.3 SELinux工作模式1.SELinux的启动、关闭与查看SELinux有三种策略类型,具体如下:(1)targeted:使用此策略可以更加安全地共享打印服务器、文件服务器、Web服务器等服务,同时降低因访问这些服务而对系统中其他资源造成不利影响的风险,是SELinux的默认值。(2)minimum:意思是“最小限制”,该策略最初是针对低内存计算机或设备(如智能手机)而创建的。本质上minimum 和 targeted 类似,但不同之处是它仅使用基本的策略规则包,只对选择的网络服务。对于低内存设备来说,minimum 策略允许SELinux在不消耗过多资源的情况下运行。2.1
6、 SELinux安全子系统2.1.3 SELinux工作模式1.SELinux的启动、关闭与查看(3)mls:multi-level security的缩写,该策略会对系统中的所有进程进行控制,启用后,用户即使执行最简单的指令(如ls)都会报错。只有root才能进行SELinux的设置和修改,配置和策略文件位于/etc/selinux目录中,主配置文件为/etc/selinux/config文件,如图2-3所示。图2-3 查看SELinux主配置文件2.1 SELinux安全子系统2.1.3 SELinux工作模式1.SELinux的启动、关闭与查看SELINUX=enforcing为SELi
7、nux默认的工作模式,SELINUXTYPE=targeted为启动的默认策略,此策略针对网络服务限制较多,针对本机限制较少。除了通过修改配置文件外,还可以通过命令查看、切换SELinux的工作模式,以及使用命令查看系统所使用的SELinux策略。2.1 SELinux安全子系统2.1.3 SELinux工作模式1.SELinux的启动、关闭与查看使用 sestatus 命令查询当前系统中所使用的 SELinux 策略,命令如下:2.1 SELinux安全子系统2.1.3 SELinux工作模式2.SELinux安全上下文的查看SELinux在管理过程中,进程是否可以正确地访问文件资源,取决于
8、它们的安全上下文,进程与目标文件都有自己的安全上下文,SELinux 会为进程与目标文件添加安全信息标签。并不是所有的进程都会被SELinux所管制,可以通过ps-eZ命令查看进程的安全上下文。2.1 SELinux安全子系统2.1.3 SELinux工作模式2.SELinux安全上下文的查看也可以通过ls的“-Z”参数查看文件/目录的安全上下文。2.1 SELinux安全子系统2.1.3 SELinux工作模式2.SELinux安全上下文的查看进程的安全上下文使用“:”分隔为五个字段,可以理解为:identify(身份)role(角色)type(类型|域)sensitivity(灵敏度)ca
9、tegory(类别)2.1 SELinux安全子系统2.1.3 SELinux工作模式2.SELinux安全上下文的查看1)identifyidentify(身份)相当于账号的身份识别,常见的类型有unconfined_u和system_u。(1)system_u:系统用户,大部分是系统自己产生的文件。系统、软件本身所提供的文件,或系统服务运行过程产生的文件,大多是system_u这个身份。(2)unconfined_u:不受限用户,即由不受限的程序所产生。预设的bash环境是不受SELinux管制的,同时bash也不是特别的网络服务,因此,这个不受SELinux管制的bash进程所产生的文件
10、,其身份大多是unconfined_u(不受限用户)。2.1 SELinux安全子系统2.1.3 SELinux工作模式2.SELinux安全上下文的查看2)rolerole(角色)主要用来表示数据是进程、文件还是目录,常见类型有object_r、system_r和unconfined_r。object_r代表的是文件或目录等资源,这也是最常见的。程序主要分为两大类:系统受限的 system_u:system_r不受限的unconfined_u:unconfined_r(通常是本机用户自己执行的程序)2.1 SELinux安全子系统2.1.3 SELinux工作模式2.SELinux安全上下文
11、的查看3)type类型字段是安全上下文中最重要的字段,进程是否可以访问目标资源,主要就是看进程和目标资源的安全上下文类型字段是否匹配,若匹配则可以访问。注意:类型字段在主体(进程)的安全上下文中被称为域,而在目标资源的安全上下文中被称为类型。域和类型需要匹配(进程和目标资源的类型相匹配),才能正确访问。2.1 SELinux安全子系统2.1.3 SELinux工作模式2.SELinux安全上下文的查看4)sensitivitysensitivity(灵敏度)一般用 s0、s1、s2 来命名,数字代表灵敏度的等级,数值越大,代表灵敏度越高,默认为s0。5)categorycategory(类别)
12、字段为可选字段,主要设置灵敏度可以识别的类别。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置SELinux对受限的主体进程有没有影响,第一考虑SELinux的三种类型,第二考虑SELinux的策略规则是否放行,第三则是比对SELinux类型,此时最应关注的是安全上下文的第三部分type(类型|域)标识符。受到SELinux保护的进程只能访问标识为自己只能够访问的安全上下文的文件与目录,安全上下文的修改是我们必须掌握的操作。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置1)修改
13、文件/目录的SELinux安全上下文通过chcon手动修改文件或目录的SELinux安全上下文,常用参数见表2-1。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置表2-1 chcon命令常用参数选项及作用1)修改文件/目录的SELinux安全上下文2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置【例2-1】修改防火墙firewalld服务配置文件/etc/firewalld/firewalld.conf的type字段为admin_home_t,再重启firewalld服务并查看
14、效果。其中,错误提示为权限拒绝,已经知道是安全上下文不匹配导致的,此时可以通过 chcon 命令修改为正确的type类型来修复错误。1)修改文件/目录的SELinux安全上下文2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置1)修改文件/目录的SELinux安全上下文【例2-2】利用chcon的-reference参数,恢复firewalld.conf文件正确的安全上下文。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置2)恢复正确的SELinux安全上下文通过restoreco
15、n把文件或目录的安全上下文恢复成默认的安全上下文,常用参数见表2-2。表2-2 restorecon命令常用参数选项及作用2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置2)恢复正确的SELinux安全上下文【例2-3】利用restorecon恢复firewalld.conf文件默认的安全上下文。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置2)恢复正确的SELinux安全上下文SELinux的安全上下文设定已经非常完善,因此,通过使用restorecon 命令就可以将文件/目
16、录恢复成默认的安全上下文。注意:cp复制文件到新目录时,将采用新目录的label标记安全上下文;mv移动文件到新目录时,安全上下文是不变的。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置3)修改默认的SELinux安全上下文由于系统中记录了每个文件/目录的SELinux默认类型,因此,restorecon可以恢复文件/目录的默认安全上下文。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置3)修改默认的SELinux安全上下文如果系统没有安装semanage命令,那么通过dnf安
17、装policycoreutils-python-utils软件包即可。semanage命令不仅能够像chcon命令那样设置文件/目录的策略,还可以管理网络端口、消息接口等,常用参数选项见表2-3。表2-3 semanage命令常用参数选项及作用2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置3)修改默认的SELinux安全上下文【例2-4】查询系统所有的默认端口和默认安全上下文。因此,如果对/etc/firewalld目录下firewalld.conf文件的安全上下文进行了修改,就可以使用 restorecon 命令进行恢复,因为默认安
18、全上下文已经明确定义了。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置3)修改默认的SELinux安全上下文【例2-5】修改默认端口。通过dnf/yum安装nginx,并创建了nginx用户进行系统资源的使用,但是nginx用户没有root权限,因为SELinux不允许,因此它无法监听除了默认可以使用的那些http端口(80,81,443,488,8008,8009,8443,9000)。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置3)修改默认的SELinux安全上下文【例
19、2-6】修改默认安全上下文。新建/web/目录作为Apache的网页主目录,而不再使用/var/www/html/目录,由于新建目录的安全上下文类型是default_t,因此,Apache进程就不能访问和使用/web/目录了。为了以后管理方便,直接修改/web/目录的默认安全上下文类型。2.1 SELinux安全子系统2.1.3 SELinux工作模式3.SELinux安全上下文的修改和设置semanage的功能还有很多,此处只用到了port和fcontext这两个选项的基本操作。读者可以使用semanage来查询所有的文件/目录默认值,也能够使用它来增加、删除或修改默认值的设置,有了这些基础
20、的操作,SELinux也不会很难。2.1 SELinux安全子系统2.1.4 SELinux日志辅助从图2-1和图2-2可知,如果主体访问目标资源被拒绝(也被称为 AVC 拒绝),那么会在一个日志文件中记录下拒绝消息。这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息到底被记录在什么位置,则取决于 auditd 和 rsyslog 守护进程的状态。(1)若auditd 守护进程正在运行,则拒绝消息将被记录到/var/log/audit/audit.log 中。(2)若 auditd 守护进程没有运行,但 rsyslog 守护进程正在运行,则拒绝消息会被记录
21、到/var/log/messages 中。(3)若auditd 和 rsyslogd 都在运行,那么拒绝消息将被发送到 audit.log 和 messages 日志文件中。2.1 SELinux安全子系统2.1.4 SELinux日志辅助1.audit2why命令audit2why命令用来分析audit.log日志文件,并分析SELinux为什么会拒绝进程的访问。这个命令只显示SELinux的拒绝访问信息,而正确的信息会被忽略。2.1 SELinux安全子系统2.1.4 SELinux日志辅助1.audit2why命令【例2-7】利用audit2why分析audit.log日志文件。这条信息
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 02SELinux和firewalld防火墙的配置与管理电子课件 Linux网络服务器配置与管理 02 SELinux firewalld 防火墙 配置 管理 电子 课件 Linux 网络 服务器
链接地址:https://www.taowenge.com/p-90570561.html
限制150内