Linux基础教程之系统自动化安装和SELinux简介
一、知识整理
1、anaconda系统安装程序:默认图形启动;
使用光盘启动,在选择模式界面tab键在后面增加text或按下ESC键,输入lnux text进入字符界面安装。
2、创建kickstart文件:
直接手动编辑:依据模板修改,/root目录下的anaconda.cfg
使用创建工具创建:system-config-kickstart,图形化工具:也可以使用模板修改
检查ks文件语法错误:ksvalidator
3、SELinux是美国国家安全局NSA(the National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中。模型有两种:
DAC:Discretionary Access Control自由访问控制
MAC:Mandatory Access Control 强制访问控制
工作类型有四种:strict:centos5,每个进程都收到selLinux的控制;
targeted:用来保护常见的网络服务,仅有限进程受到seLinux控制,只监控容易被入侵的进程,rhel4只保护13个服务,rhel5保护88个服务。
minimum:centos7,修改过的targeted,只对选择的网络服务;
mls:提供MLS(多级安全)机制的安全性
后两者稳定性不足,未加以应用。
4、传统Linux一切皆文件,由用户,组,权限控制访问在SELinux中,一切皆对象,由存放在Inode的扩展属性域的安全元素所控制其访问。所有文件和端口资源和进程都具备安全标签:安全上下文(security context)。安全上下文有五个元素组成:
user:role:type:sensitivity:category
user_u:object_r:tmp_t:s0:c0
实际上下文:存放在文件系统中,ls -Z可以查看文件的元素;ps -Z查看进程的。
期望上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中
semanage fcontext -l查看所有期望上下文
五个安全元素:User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程;
Role:定义文件、进程和用户的用途:文件:object_r,进程和用户:system_r
Type:指定数据类型,规则中定义何种进程类型访问何种文件;
Target策略基于type实现,多服务公用:public_content_t
sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret,一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0。
Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret,一个对象可以有多个category,c0-c1023共1024个分类,Target策略不是用category。
5、SELinux策略:对象:所有可以读取的对象,包括文件、目录和进程、端口等
主体,进程称为主体
SELinux中对所有的文件都赋予一个type的文件类型便签,对于多有的进程也赋予各自的一个domain的标签。Domain标签能够执行的操作由安全策略里定义。
当一个subject试图访问一个object,kernel中的策略执行服务器将建成AVC(访问矢量缓存Access Vector Cache),在AVC中,subject和object的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问。
安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是的,并且定义了哪种行为是允许或拒绝。
6、SELinux帮助:yum -y install seLinux-policy-devel
在centos6中使用makewhatis同步数据库;在centos7中使用mandb同步数据库。
二、命令详解和事例
1、SELinux的状态:enforcing:强制,每个受限的进程都必然受限;
permissive:允许,每个受限的进程违规操作不会被禁止,但会被记录于审计日志;
disabled:禁用。
2、getenforce 获取selLinux当前状态
sestatus 查看seLinux状态
setenforce 0|1 设置为permissive或enforcing
[root@centos68 usb]# getenforce
Enforcing
[root@centos68 usb]# sestatus
SELinux status: enabled
SELinuxfs mount: /seLinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
[root@centos68 usb]# setenforce 0
[root@centos68 usb]# sestatus
SELinux status: enabled
SELinuxfs mount: /seLinux
Current mode: permissive
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
[root@centos68 usb]# getenforce
Permissive
配置文件:
/boot/grub/grub.conf使用seLinux=0禁用seLinux
/etc/sysconfig/seLinux
/etc/seLinux/config
所有的修改都无法直接生效,都必须重启之后生效。
3、给文件重新打安全标签:chcon [opt] [-u USER] [-r ROLE] [-t TYPE] FILE
-R递归设置
–reference=FILE 与此文件相同设置
[root@centos68 tmp]# ll -Z
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f1
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f2
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f3
[root@centos68 tmp]# chcon -u unconfined_u -r object_r -t default_t f1
[root@centos68 tmp]# ll -Z
-rw-r--r--. root root unconfined_u:object_r:default_t:s0 f1
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f2
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f3
[root@centos68 tmp]# chcon --reference=f2 f1
[root@centos68 tmp]# ll -Z
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f1
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f2
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f3
恢复目录或文件默认的安全上下文:restorecon /PATH/FILE
查看默认的安全上下文,若没有默认安全上下文则无法设置:semanage fcontext -l
semanage来自policycoreutils-Python包
添加安全上下文:semanage scontext -a -t httpd_sys_content_t ‘/testdir(/.*)?’
restorecon -Rv /testdir
删除安全上下文:semanage fcontext -d -t httpd_sys_content_t ‘/testdir(/.*)?’
[root@centos68 tmp]# semanage fcontext -a -t default_t '/tmp(/.*)?'
[root@centos68 tmp]# ll -Z
-rw-r--r--. root root unconfined_u:object_r:default_t:s0 f1
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f2
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 f3
[root@centos68 tmp]# semanage fcontext -l | grep "/tmp(/.*)?"
/tmp(/.*)? all files system_u:object_r:default_t:s0
[root@centos68 tmp]# restorecon -Rv /tmp
restorecon reset /tmp/f3 context unconfined_u:object_r:user_tmp_t:s0->unconfined_u:object_r:default_t:s0
restorecon reset /tmp/.ICE-unix context system_u:object_r:xdm_tmp_t:s0->system_u:object_r:default_t:s0
restorecon reset /tmp/f2 context unconfined_u:object_r:user_tmp_t:s0->unconfined_u:object_r:default_t:s0
[root@centos68 tmp]# ll -Z
-rw-r--r--. root root unconfined_u:object_r:default_t:s0 f1
-rw-r--r--. root root unconfined_u:object_r:default_t:s0 f2
-rw-r--r--. root root unconfined_u:object_r:default_t:s0 f3
[root@centos68 tmp]# semanage fcontext -d -t default_t '/tmp(/.*)?'
[root@centos68 tmp]# semanage fcontext -l | grep "/tmp(/.*)?"
对文件进行移动不改变安全标签;复制文件则改变便签。
4、端口便签:查看端口标签:semanage port -l
添加端口:semanage port -a -t port_label -p tcp|udp PORT
删除端口:semanage port -d -t port_label -p tcp|udp PORT
[root@centos68 tmp]# semanage port -a -t tftp_port_t -p udp 9527
[root@centos68 tmp]# semanage port -l | grep "tftp_port_t"
tftp_port_t udp 9527, 69
[root@centos68 tmp]# semanage port -d -t tftp_port_t -p udp 9527
[root@centos68 tmp]# semanage port -l | grep "tftp_port_t"
tftp_port_t udp 69
修改端口:semanage port -m -t port_label -p tcp|udp PORT
5、SELinux的布尔值:
查看bool值:getsebool -a
查看bool值,包括说明semanage boolean -l
查看修改过的布尔值:semanage boolean -l -C
设置bool值的命令:
setsebool BOOLEAN VALUE
0为开启,1为关闭;选项-P永久生效
[root@centos68 ~]# semanage boolean -l | grep virt_use_samba
virt_use_samba (关 , 关) Allow virt to manage cifs files
[root@centos68 ~]# setsebool virt_use_samba 1
[root@centos68 ~]# semanage boolean -l | grep virt_use_samba
virt_use_samba (开 , 关) Allow virt to manage cifs files
6、SELinux日志管理:yum install setroublesshoot*(重启生效)
将错误的信息写入/var/log/message
[root@centos68 ~]# grep setroubleshoot /var/log/messages
Sep 11 03:50:45 centos68 yum[4947]: Installed: setroubleshoot-server-3.0.47-11.el6.x86_64
Sep 11 03:50:47 centos68 yum[4947]: Installed: setroubleshoot-plugins-3.0.40-2.el6.noarch
Sep 11 03:50:48 centos68 yum[4947]: Installed: setroubleshoot-3.0.47-11.el6.x86_64
查看安全日志说明:
[root@centos68 ~]# sealert -l 0
Error
query_alerts error (1003): id (0) not found
扫描并分析日志:sealert -a /var/log/audit/audit.log
[root@centos68 ~]# sealert -a /var/log/audit/audit.log
100% donefound 0 alerts in /var/log/audit/audit.log
三、课后练习
1、制作光盘或U盘引导盘。
创建引导光盘:
步骤一:复制光盘目录下的isoLinux目录至/tmp/myiso目录下
[root@centos68 tmp]# mkdir myiso
[root@centos68 tmp]# cp -rf /media/cdrom/isoLinux ./myiso/
步骤二:编辑isoLinux.cfg
[root@centos68 tmp]# vim myiso/isoLinux/isoLinux.cfg
label Linux
menu label ^Install or upgrade an existing system
menu default
kernel vmlinuz
append initrd=initrd.img text ks=cdrom:/myks.cfg
步骤三:生成kickstart文件myks.cfg并将其放入isoLinux目录中,此处使用在图形界面下创建的kickstart文件:
[root@centos68 tmp]# cp /root/myks.cfg ./myiso/
[root@centos68 tmp]# vim myiso/myks.cfg
步骤四:生成引导文件,光盘镜像boot.iso
[root@centos68 tmp]# cd myiso/
[root@centos68 myiso]# mkisofs -R -J -T -v --no-emul-boot --boot-load-size 4 --boot-info-table -V "CentOS 6.8 x86_64 boot" -b isoLinux/isoLinux.bin -c isoLinux/boot.cat -o /root/boot.iso ./
I: -input-charset not specified, using utf-8 (detected in locale settings)
genisoimage 1.1.9 (Linux)
Scanning ./
Scanning ./isoLinux
Excluded by match: ./isoLinux/boot.cat
Excluded: ./isoLinux/TRANS.TBL
Writing: Initial Padblock Start Block 0
Done with: Initial Padblock Block(s) 16
Writing: Primary Volume Descriptor Start Block 16
Done with: Primary Volume Descriptor Block(s) 1
Writing: Eltorito Volume Descriptor Start Block 17
Size of boot image is 4 sectors -> No emulation
Done with: Eltorito Volume Descriptor Block(s) 1
Writing: Joliet Volume Descriptor Start Block 18
Done with: Joliet Volume Descriptor Block(s) 1
Writing: End Volume Descriptor Start Block 19
Done with: End Volume Descriptor Block(s) 1
Writing: Version block Start Block 20
Done with: Version block Block(s) 1
Writing: Path table Start Block 21
Done with: Path table Block(s) 4
Writing: Joliet path table Start Block 25
Done with: Joliet path table Block(s) 4
Writing: Directory tree Start Block 29
Done with: Directory tree Block(s) 2
Writing: Joliet directory tree Start Block 31
Done with: Joliet directory tree Block(s) 2
Writing: Directory tree cleanup Start Block 33
Done with: Directory tree cleanup Block(s) 0
Writing: Extension record Start Block 33
Done with: Extension record Block(s) 1
Writing: The File(s) Start Block 34
22.37% done, estimate finish Sun Sep 11 12:10:41 2016
44.66% done, estimate finish Sun Sep 11 12:10:41 2016
67.02% done, estimate finish Sun Sep 11 12:10:41 2016
89.29% done, estimate finish Sun Sep 11 12:10:41 2016
Total translation table size: 4703
Total rockridge attributes bytes: 1440
Total directory bytes: 2048
Path table size(bytes): 26
Done with: The File(s) Block(s) 22215
Writing: Ending Padblock Start Block 22249
Done with: Ending Padblock Block(s) 150
Max brk space used 0
22399 extents written (43 MB)
步骤五:测试使用
使用光盘镜像:
开机使用光盘启动:
注意:添加虚拟机的时候给的空间不能少于ks模板中给定的数值,否则报错。
创建引导U盘
方法一:直接将光盘内容写入U盘使用;
[root@centos68 ~]# dd if=/dev/sr0 of=/dev/sdb
记录了7649280+0 的读入
记录了7649280+0 的写出
3916431360字节(3.9 GB)已复制,160.877 秒,24.3 MB/秒
2、安装http服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,设置http_sys_content_t到/website及目录下所有文件,使网站可访问。
步骤一:更改配置文件,改变默认主目录:
[root@centos68 ~]# vim /etc/httpd/conf/httpd.conf
# This should be changed to whatever you set DocumentRoot to.
<Directory "/var/www/website">
# symbolic links and aliases may be used to point to other locations.
DocumentRoot "/var/www/website"
更改两行,将目录设置为website。
步骤二:重启服务,添加网页文件
[root@centos68 website]# service httpd restart
停止 httpd: [确定]
正在启动 httpd:httpd: apr_sockaddr_info_get() failed for centos68
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName [确定]
[root@centos68 website]# echo "hello man" > index.html
[root@centos68 website]# ls
index.html
步骤三:关闭seLinux访问限制,关闭防火墙,访问检验
1、修改网站端口为9527,增加SELinux端口标签,使网站可访问。
修改http监听的端口:
[root@centos68 ~]# semanage port -l | grep http
http_cache_port_t tcp 3128, 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
[root@centos68 ~]# semanage port -a -t http_port_t -p tcp 9527
[root@centos68 ~]# semanage port -l | grep http
http_cache_port_t tcp 3128, 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 9527, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
修改文件:
#Listen 12.34.56.78:80
Listen 80
Listen 9527
使用windows浏览器检验是否能够访问:
3、启动SELinux布尔值,使用户student的家目录可通过http访问。
[root@centos68 ~]# semanage boolean -l | grep http
httpd_enable_homedirs (关 , 关) Allow httpd to read home directories
[root@centos68 ~]# setsebool httpd_enable_homedirs 1
[root@centos68 ~]# semanage boolean -l | grep httpd_enable_homedirs
httpd_enable_homedirs (开 , 关) Allow httpd to read home directories
更改配置文件:
<IfModule mod_userdir.c>
#UserDir disabled
UserDir public_html
</IfModule>
<Directory /home/*/public_html>
AllowOverride FileInfo AuthConfig Limit
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<Limit GET POST OPTIONS>
Order allow,deny
Allow from all
</Limit>
<LimitExcept GET POST OPTIONS>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>
按配置文件的格式来看,需要家目录中的文件名如下
[root@centos68 user1]# echo 43123123 > public_html