《操作系统安全:实验配置selinux策略(实验一).docx》由会员分享,可在线阅读,更多相关《操作系统安全:实验配置selinux策略(实验一).docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实验一:selinux策略配置一、实验目的1、掌握Selinux的命令2、掌握Selinux复制和移动文件3、了解chcon命令的使用4、掌握Selinux布尔值的查看修改5、 了解Selinux应用和禁用二、实验内容与步骤1、 Selinux 命令SELinux的模式1. 1并非所有的Linux distributions都支持SELinux的,不过CentOS都有对SELinux的 支持。目前SELinux支持三种模式,分别如下:enforcing:强制模式,代表SELinux运作中,且已经正确的开始限制domain/type T;permissive:宽容模式:代表SELinux运作中,
2、不过仅会有警告讯息并不会实际限制 domain/type的存取。这种模式可以运来作为SELinux的debug之用; ,disabled:关闭,SELinux并没有实际运作。1.2查看SELinux的模式# getenforceEnforcing=就显示出目前的模式为Enforcing查看SELinux的模式rootlocalhost # getenforce Enforcing图1:1. 3 查看 SELinux 的政策(Policy)# sestatusSELinux status:SELinuxSELinuxfs mount:# sestatusSELinux status:SELinu
3、xSELinuxfs mount:enabled/selinux=是否启动=SELinux的相关文件资料挂载点Current mode:Mode from config file:Pol icy version:Policy from config file:enforcingenforcing=设定档指定的模式24targeted off abrthandle event - off allowconsole login - on allowcvsread shadow - off allow daemons dump core - on allow daemons use tcp wrap
4、per - off allow daemonsusetty - on allow domainfd use - on allow execheap - off allow execmem - on allow execmod - on allow execstack - on allow ftpd anon write - off allow ftod full access - off图8:杳看SELinux布尔值修改SELinux布尔值状态也非常简单,使用setsebool name X即可实现。其中,name是 布尔值名称,X代表on或off。默认setsebool命令修改的布尔值参数会
5、立即生效,但计算机 重启后会被还原,如果希望永久修改,需要使用-P参数。# setsebool ftp一home dir on# setsebool -p ftphomedir onrootlocalhost *# getsebool ftp home dir ftphome dir - off rootlocalhost -# setsebool ftphomedir on rootlocalhost j# getsebool ftphomedir ftphomedir - on rootlocalhost # |图9:修改SELinux布尔值5、Sclinux 应用seiinux的设置分为
6、两个局部,修改安全上下文以及策略,下面收集了一些应用的安全 上下文,供配置时使用,对于策略的设置,应根据服务应用的特点来修改相应的策略值。SElimix 与 samba5. 1 samba共享的文件必须用正确的sei inux安全上下文标记。chcon -R -t sambasharet /tmp/abc如果共享/home/abc,需要设置整个主目录的安全上下文。chcon -R -r sambasharet /homerootlocalhost -# chcon -R -r samba share t /home chcon: failed to change context of *,gn
7、oe2 to unconfined u:samba ehome t:s9: Invalid argument chcon: failed to change context of *.bashrc to unconfined u:samba hoe t:s9: Invalid arguentchcon? failed to change context of *.xauthIUYq4Y to unconfined u: :xauth home t:se: Invalid argument图10:修改整个主目录上下文5.2修改策略(只对主目录的策略的修改)setsebool -P samba c
8、nab1e home dirs=1setsebool -P cillow_smbd_anon_write=lgetsebool 查看samba_enab1e_home_d i rs -on allow smbd anon write onallowsmbdanonwriteallow smbd anon write=l allow smbd anon writesamba enable home dirsroot(alocalhost -# getsebool allow smbd anon write - off rootlocalhost -# setsebool root(aiocalh
9、ost j# getsebool allow smbd anonwrite - on root百localhost -# getsebool samba enable home dirs - on rootlocalhost T# |图11:修改策略SElinux与nfsselinux对nfs的限制好像不是很严格,默认状态下,不对nfs的安全上下文进行标记, 而且在默认状态的策略下,nfs的目标策略允许nfs_export_all_r。nfsexportall_rons_export_al l_rw 值为 0所以说默认是允许访问的。但是如果共享的是/home/abc的话,需要翻开相关策略对ho
10、me的访问。setsebool -P use_nfs_home_dirs boolean 1Getsebool use_nfs home dirsroot(aiocalhost -# getsebool use nfs home dirs usenfshomedirs - onrootlocal.host -# |图12:修改策略SElinux与ftp1 .如果ftp为匿名用户共享目录的话,应修改安全上下文。chcon -R -t public_content_t /var/ftpchcon -R -t public contont rw t /var/ftp/incoming2 .策略的设置
11、setsebool -P allow ftpd anon write =1getsebool allowftpdanonwriteallow ftpd anon write- onIrootlocalhost # getsebool allowftpdanonwrite lallowftpdanonwrite - offI rootlocalhost setsebool aHow_ftpd_anon_write=lroot矶ocalhost j# getsebool allowftpdanonwrite lallowftpdanonwrite - onrootlocalhost # |图13:
12、修改策略SElinux与 apache的主目录如果修改为其它位置,seiinux就会限制客户的访问。1 .修改安全上下文:chcon -R -t d_sys_content_t /home/html由于网页都需要进行匿名访问,所以要允许匿名访问。2 .修改策略:setsebool -P allow ftpd anon write = 1setsebool -P al lov_ d_anon_write = 1setsebool -P allow anon write =1, zroot(aiocalhost # getsebool allow ftpd anon write allow ftp
13、d anon write - offrootlocalhost *# setsebool allow ftpd anon write=lrootlocalhost j# getsebool allow ftpd anon write allowftpdanonwrite - onrootlocaThost # getsebool allow danonwrite allow danonwrite - offroot砥localhost 二# setsebool allow d anon write=l rootlocalhost j# getsebool allow d anon write
14、allow d anonwrite - onrootQlocalhost 二# |图14:修改策略关闭sei inux对 d的保护 ddi sable_trans=OSEI inux与公共目录共享如果ftp, samba, web都访问共享目录的话,该文件的安全上下文应为:public_content_tpubliccontentrwt其它各服务的策略的b。1值,应根据具体情况做相应的修改。SELi mix 对Apache 的保护新安装的wordpress位于/vogins/share/wordpress下,按照系统的默认策略, /vogins, /vogins/share的SELinux属性
15、为而这是不允许 d进程直接访问的。为 此,需要做如下高调整:1)改变/vogins, /vogins/share的SELinux属性Shellchcon - t var t /voginsShellchcon - t var_t /vogins/share2) 改变wrodpress目录的SELinux属性Shellchcon - R - t d_sys_content_t wordpress3) 允许apache进程访问mysqlsetsebool -P dean network_connect=l4)关于Apache里虚拟主机的配制就里就不多说,重新启动apache,就可以正常访问 wor
16、dpressShell/etc/init. d/ d start注意:如果出现不能访问的情况,请查看/var/log/messages里的口志。一般来说,按 照提示就可以解决了。6、Selinux 禁用6. 1临时禁用SELinux:# sctcnforco 0这样重启服务器之后,还是会启动SELinux,6.2永久禁用:翻开服务器上的SELinux配置文件,/etc/selinux/config,将上面的SELINUX=enforcing 改为:SELINUX=disable 禁用SeLinux# This file controls the state of SELinux on the
17、system.* SELINUX= can take one of these three values:什 enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.5ELINUX=disable|什 SELINUXTYPE= can take one of these two values:# targeted - Targeted processes are protected,# mis - Multi Level Security protection.5ELINUXTYPE=targeted图 15: SELinux禁用