系统自动化安装和SELinux

一、知识整理

1anaconda系统安装程序:默认图形启动;

使用光盘启动,在选择模式界面tab键在后面增加text或按下ESC键,输入lnux text进入字符界面安装。

2、创建kickstart文件:

直接手动编辑:依据模板修改,/root目录下的anaconda.cfg

使用创建工具创建:system-config-kickstart,图形化工具:也可以使用模板修改

检查ks文件语法错误:ksvalidator

3、SELinux是美国国家安全局NSAthe National Security Agency)和SCCSecure Computing Corporation)开发的linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,linux内核2.6版本后集成在内核中。模型有两种:

DACDiscretionary Access Control自由访问控制

MACMandatory Access Control 强制访问控制

工作类型有四种:strictcentos5,每个进程都收到sellinux的控制;

targeted:用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程,rhel4只保护13个服务,rhel5保护88个服务。

minimumcentos7,修改过的targeted,只对选择的网络服务;

mls:提供MLS(多级安全)机制的安全性

后两者稳定性不足,未加以应用。

4、传统Linux一切皆文件,由用户,组,权限控制访问在SElinux中,一切皆对象,由存放在Inode的扩展属性域的安全元素所控制其访问。所有文件和端口资源和进程都具备安全标签:安全上下文(security context)。安全上下文有五个元素组成:

user:role:type:sensitivity:category

user_u:object_r:tmp_t:s0:c0

实际上下文:存放在文件系统中,ls -Z可以查看文件的元素;ps -Z查看进程的。

期望上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中

semanage fcontext -l查看所有期望上下文

五个安全元素:User:指示登录系统的用户类型,如rootuser_usystem_u,多数本地进程都属于自由(unconfined)进程;

Role:定义文件、进程和用户的用途:文件:object_r,进程和用户:system_r

Type:指定数据类型,规则中定义何种进程类型访问何种文件;

Target策略基于type实现,多服务公用:public_content_t

sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassifiedsecrettopsecret,一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0

Category:对于特定组织划分不分层的分类,如FBI SecretNSA secret,一个对象可以有多个categoryc0-c10231024个分类,Target策略不是用category

5、SElinux策略:对象:所有可以读取的对象,包括文件、目录和进程、端口等

主体,进程称为主体

SELinux中对所有的文件都赋予一个type的文件类型便签,对于多有的进程也赋予各自的一个domain的标签。Domain标签能够执行的操作由安全策略里定义。

当一个subject试图访问一个objectkernel中的策略执行服务器将建成AVC(访问矢量缓存Access Vector Cache),在AVC中,subjectobject的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问。

安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是的,并且定义了哪种行为是允许或拒绝。

6、SELinux帮助:yum -y install selinux-policy-devel

centos6中使用makewhatis同步数据库;在centos7中使用mandb同步数据库。

 

二、命令详解和事例

1、SELinux的状态:enforcing:强制,每个受限的进程都必然受限;

permissive:允许,每个受限的进程违规操作不会被禁止,但会被记录于审计日志;

disabled:禁用。

2、getenforce 获取sellinux当前状态

sestatus 查看selinux状态

setenforce 0|1 设置为permissiveenforcing

配置文件:

/boot/grub/grub.conf使用selinux=0禁用selinux

/etc/sysconfig/selinux

/etc/selinux/config

所有的修改都无法直接生效,都必须重启之后生效。

3、给文件重新打安全标签:chcon [opt] [-u USER] [-r ROLE] [-t TYPE] FILE

-R递归设置

–reference=FILE 与此文件相同设置

恢复目录或文件默认的安全上下文:restorecon /PATH/FILE

查看默认的安全上下文,若没有默认安全上下文则无法设置:semanage fcontext -l

semanage来自policycoreutils-python

添加安全上下文:semanage scontext -a -t httpd_sys_content_t /testdir(/.*)?

restorecon -Rv /testdir

删除安全上下文:semanage fcontext -d -t httpd_sys_content_t  /testdir(/.*)?

对文件进行移动不改变安全标签;复制文件则改变便签。

4、端口便签:查看端口标签:semanage port -l

添加端口:semanage port -a -t port_label -p tcp|udp PORT

删除端口:semanage port -d -t port_label -p tcp|udp PORT

修改端口:semanage port -m -t port_label -p tcp|udp PORT

5、SElinux的布尔值:

查看bool值:getsebool -a

查看bool值,包括说明semanage boolean -l

查看修改过的布尔值:semanage boolean -l -C

设置bool值的命令:

setsebool BOOLEAN VALUE

0为开启,1为关闭;选项-P永久生效

6、SELinux日志管理:yum install setroublesshoot*(重启生效)

将错误的信息写入/var/log/message

查看安全日志说明:

三、课后练习

1、制作光盘或U盘引导盘。

创建引导光盘:

步骤一:复制光盘目录下的isolinux目录至/tmp/myiso目录下

步骤二:编辑isolinux.cfg

步骤三:生成kickstart文件myks.cfg并将其放入isolinux目录中,此处使用在图形界面下创建的kickstart文件:

步骤四:生成引导文件,光盘镜像boot.iso

步骤五:测试使用

使用光盘镜像:

blob.png

开机使用光盘启动:

注意:添加虚拟机的时候给的空间不能少于ks模板中给定的数值,否则报错。

blob.png

创建引导U

方法一:直接将光盘内容写入U盘使用;

记录了7649280+0 的读入

记录了7649280+0 的写出

3916431360字节(3.9 GB)已复制,160.877 秒,24.3 MB/

 

2、安装http服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,设置http_sys_content_t/website及目录下所有文件,使网站可访问。

步骤一:更改配置文件,改变默认主目录:

更改两行,将目录设置为website

步骤二:重启服务,添加网页文件

步骤三:关闭selinux访问限制,关闭防火墙,访问检验

blob.png

1、修改网站端口为9527,增加SELinux端口标签,使网站可访问。

修改http监听的端口:

修改文件:

#Listen 12.34.56.78:80

Listen 80

Listen 9527

使用windows浏览器检验是否能够访问:

blob.png

3、启动SELinux布尔值,使用户student的家目录可通过http访问。

更改配置文件:

<IfModule mod_userdir.c>

    #UserDir disabled

    UserDir public_html

</IfModule>

<Directory /home/*/public_html>

    AllowOverride FileInfo AuthConfig Limit

    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec

    <Limit GET POST OPTIONS>

        Order allow,deny

        Allow from all

    </Limit>

    <LimitExcept GET POST OPTIONS>

        Order deny,allow

        Deny from all

    </LimitExcept>

</Directory>

按配置文件的格式来看,需要家目录中的文件名如下

blob.png

原创文章,作者:SilencePavilion,如若转载,请注明出处:/49220

联系我们

400-080-6560

在线咨询:点击这里给我发消息

邮件:1823388528@qq.com

工作时间:周一至周五,9:30-18:30,节假日同时也值班

友情链接:万达娱乐招商QQ  万达招商  万达直属QQ  万达主管QQ  华宇招商  guoqibee.com  万达娱乐主管  万达娱乐主管  万达娱乐直属QQ  测试