一、SELinux簡介
RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在於集成了SELinux的支持。
SELinux的全稱是Security-Enhanced Linux,是由美國國家安全局NSA開發的訪問控制體制。
SELinux可以最大限度地保證Linux系統的安全。至於它的作用到底有多大,舉一個簡單的例子可以證明:
沒有SELinux保護的Linux的安全級別和Windows一樣,是C2級,但經過保護SELinux保護的Linux,安全級別
則可以達到B1級。如:我們把/tmp目錄下的所有文件和目錄權限設置爲0777,這樣在沒有SELinux保護的情
況下,任何人都可以訪問/tmp 下的內容。而在SELinux環境下,儘管目錄權限允許你訪問/tmp下的內容,
但SELinux的安全策略會繼續檢查你是否可以訪問。
NSA推出的SELinux安全體系結構稱爲 Flask,在這一結構中,安全性策略的邏輯和通用接口一起封裝在與
操作系統獨立的組件中,這個單獨的組件稱爲安全服務器。SELinux的安全服務器定義了一種混合的安全性
策略,由類型實施 (TE)、基於角色的訪問控制 (RBAC) 和多級安全(MLS) 組成。通過替換安全服務器,可
以支持不同的安全策略。SELinux使用策略配置語言定義安全策略,然後通過checkpolicy 編譯成二進制形
式,存儲在文件(如目標策略/etc/selinux/targeted/policy/policy.18)中,在內核引導時讀到內核空間
。這意味着安全性策略在每次系統引導時都會有所不同。
SELinux的策略分爲兩種,一個是目標(targeted)策略,另一個是嚴格(strict)策略。有限策略僅針對部分
系統網絡服務和進程執行SELinux策略,而嚴厲策略是執行全局的NSA默認策略。有限策略模式下,9個(可
能更多)系統服務受SELinux監控,幾乎所有的網絡服務都受控。
配置文件是/etc/selinux/config,一般測試過程中使用“permissive”模式,這樣僅會在違反SELinux規
則時發出警告,然後修改規則,最後由用戶覺得是否執行嚴格“enforcing”的策略,禁止違反規則策略的
行爲。
規則決定SELinux的工作行爲和方式,策略決定具體的安全細節如文件系統,文件一致性。
在安裝過程中,可以選擇“激活”、“警告”或者“關閉”SELinux。默認設置爲“激活”。
安裝之後,可以在“應用程序”-->“系統設置”-->“安全級別”,或者直接在控制檯窗口輸入“system
-config- securitylevel”來打開“安全級別”設置窗口。在“SELinux”選項頁中,我們不但可以設置“
啓用”或者“禁用”SELinux,而且還可以對已經內置的SELinux策略進行修改。
SELinux相關命令:
ls -Z
ps -Z
id -Z
分別可以看到文件,進程和用戶的SELinux屬性。
chcon 改變文件的SELinux屬性。
getenforce/setenforce查看和設置SELinux的當前工作模式。
修改配置文件/etc/selinux/config後,需要重啓系統來啓動SELinux新的工作模式。
二、案例分析
Apache - "Document root must be a directory" 問題?
有可能和這個問題併發的問題還有 403 Forbidden 禁止訪問的問題。
現象描述:
不使用系統默認的 /var/www/html作爲系統的Document Root,自己新建一個目錄後修改
/etc/httpd/conf/httpd.conf 中的配置,然後重起Apache的Daemon,發現Apache無法起動,系統報錯:
Document root must be a directory
但是,我們設置的DocumentRoot 的確是一個目錄,而且apache用戶具有可讀權限。
另一種情況:新建一個虛擬目錄或文件後,無法訪問,顯示 Forbidden, 403 Error,但文件或目錄有可讀
權限。
問題產生的原因:
一開始想來想去想不出爲什麼,但是給我感覺是權限的問題,用傳統的Linux的思維方式來看,權限絕對沒
有問題。但是仔細一想,SELinux是不是會有其他安全的設定?
檢查 avcmessage,查看 /var/log/messages文件,發現有類似以下內容的這樣一段:
Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:
denied{ getattr } forpid=19029 exe=/usr/sbin/httpd
path=/var/www/html/about.html dev=dm-0 ino=373900
scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t
tclass=file
嘿嘿,問題找到了,果然是SELinux的新特性搞的鬼。我把目錄或文件設成了user_home_t類型,因此
apache的進程沒有權限,無法訪問。針對Apache的進程所使用的SELinux target policy規定了apache的進
程只能訪問httpd_sys_content_t類型的目錄或文件。
解決辦法:
很簡單,把目錄或文件的策略類型改成 httpd_sys_content_t 就可以了。
# chcon -t httpd_sys_content_t [file_name | dir_name]
然後可以用 ls -laZ 命令查看文件目錄的策略類型。(T002)