维护我们服务器的安全是一项艰巨的工作,与第三方解决方案提供商打交道时尤为如此。在许多情况下,面临的挑战是要求禁用SELinux,以便应用程序可以顺利运行。幸好,这种情况越来越少了。在大多数情况下,一番分析足以找到正确的故障排查或解决方法。
SELinux是一个标签系统,它告诉我们系统中的每个文件、目录或对象都有对应的标签(Label)。策略控制这些元素之间的交互关系,内核则执行这些规则。
两个最重要的概念是标签(文件、进程和端口等)和类型强制(根据进程的类型将进程彼此隔离开来)。
标签使用的格式为:user:role:type:level(可选)。
要找出当前配置,请运行getenforce和sestatus两个命令:
#getenforceEnforcing#sestatusSELinuxstatus:enabledSELinuxfsmount:/sys/fs/selinuxSELinuxrootdirectory:/etc/selinuxLoadedpolicyname:targetedCurrentmode:enforcingModefromconfigfile:enforcingPolicyMLSstatus:enabledPolicydeny_unknownstatus:allowedMemoryprotectionchecking:actual(secure)Maxkernelpolicyversion:32最佳实践告诉我们,我们测试一个新的第三方应用程序时,应该在许可模式下临时配置SELinux,以便确定哪些策略或布尔值(更改行为的简单字符串)必不可少。运行该命令:
#setenforce0查看日志,您可以找到SELinux使应用程序正常运行所需的条件。
SELinux试图告诉我什么?
SELinux中生成警报的错误只有四个主要原因:
标签。SELinux需要知道。SELinux策略及/或应用程序可能有错误。您的信息可能被泄露。最后一种情况是由于对攻击漏洞进行了修改或避免了活动跟踪,不过在这两种情况下,都必须查看这些警报,这点暂且不介绍。
标签
标签问题:/srv/myweb中的文件未正确标记,因而无法访问。
SELinux为同一服务所涉及的每个元素分配一个标签:
二进制文件:/usr/sbin/