第十八章 管理 selinux
Post on 03-Jan-2016
109 Views
Preview:
DESCRIPTION
TRANSCRIPT
11
第十八章 管理第十八章 管理 SELinuxSELinux
22
本章内容本章内容本章内容本章内容
基本 SELinux 安全性概念SELinux 模式SELinux 脉络SELinux 布尔值监控 SELinux 冲突
基本 SELinux 安全性概念SELinux 模式SELinux 脉络SELinux 布尔值监控 SELinux 冲突
33
SELinuxSELinux 的基本概念的基本概念SELinuxSELinux 的基本概念的基本概念
SELinux(Security-Enhanced Linux) 是美国国家安全局( NSA )对于强制访问控制的实现,是 Linux 上最杰出的新安全子系统。NSA 是在 Linux 社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
SELinux(Security-Enhanced Linux) 是美国国家安全局( NSA )对于强制访问控制的实现,是 Linux 上最杰出的新安全子系统。NSA 是在 Linux 社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
44
SELinuxSELinux 的介绍的介绍SELinuxSELinux 的介绍的介绍
SELinux 是一组可确定哪个进程能访问文件、目录、端口等的安全规则SELinux 标签有若干上下文,最关注类型上下文SELinux 的目标是保护用户数据免受已泄露的系统服务的威胁
SELinux 是一组可确定哪个进程能访问文件、目录、端口等的安全规则SELinux 标签有若干上下文,最关注类型上下文SELinux 的目标是保护用户数据免受已泄露的系统服务的威胁
55
SELinuxSELinux 模式模式SELinuxSELinux 模式模式强制模式: Enforcing
许可模式: Permissive
禁用模式: Disabled
强制模式: Enforcing
许可模式: Permissive
禁用模式: Disabled
66
SELinuxSELinux 的模式的模式SELinuxSELinux 的模式的模式
EnforcingDisabled Permissive
77
显示和修改显示和修改 SELinuxSELinux 模式模式显示和修改显示和修改 SELinuxSELinux 模式模式
修改 /etc/sysconfig/selinux 文件显示当前 SELinux 模式: getenforce
修改当前 SELinux 模式: setenforce
修改 /etc/sysconfig/selinux 文件显示当前 SELinux 模式: getenforce
修改当前 SELinux 模式: setenforce
88
显示和修改 显示和修改 SELinuxSELinux 文件上下文文件上下文显示和修改 显示和修改 SELinuxSELinux 文件上下文文件上下文
查看进程的 SELinux 上下文: ps -axZ
查看文件的 SELinux 上下文: ls -lZ
修改文件的 SELinux 上下文: chcon -t 上下文类型 文件名
查看进程的 SELinux 上下文: ps -axZ
查看文件的 SELinux 上下文: ls -lZ
修改文件的 SELinux 上下文: chcon -t 上下文类型 文件名
99
管理管理 SELinuxSELinux 布尔值布尔值管理管理 SELinuxSELinux 布尔值布尔值
SELinux 布尔值是更改 SELinux 策略行为的开关SELinux 布尔值是可以启用或者禁用的规则显示布尔值: getsebool –a
修改布尔值: setsebool –P 类型 on|off
SELinux 布尔值是更改 SELinux 策略行为的开关SELinux 布尔值是可以启用或者禁用的规则显示布尔值: getsebool –a
修改布尔值: setsebool –P 类型 on|off
1010
监控监控 SELinux SELinux 修改修改监控监控 SELinux SELinux 修改修改
安装 setroubleshoot-server 软件包,将消息发送给 /var/log/messages 文件,包括 SELinux 冲突的唯一标识符 UUID
sealert –l UUID 用于生成特定事件的报告 sealert -a /var/log/audit/audit.log 用于在该文件中生成所有事件的报告
安装 setroubleshoot-server 软件包,将消息发送给 /var/log/messages 文件,包括 SELinux 冲突的唯一标识符 UUID
sealert –l UUID 用于生成特定事件的报告 sealert -a /var/log/audit/audit.log 用于在该文件中生成所有事件的报告
1111
实验:管理 实验:管理 SELinuxSELinux实验:管理 实验:管理 SELinuxSELinux
需求描述在 serverX 上部署 Web 服务器。安装 mod_ssl 包。重新启动 Web 服务。启用防火墙并允许 HTTP 和 HTTPS 端口。创建/ tmp/d.html 并将其移动到 Web 服务器主目录尝试显示 http://serverX/d.html 应失败。将 d.html 上的上下文更改为 httpd_sys_content_t 。
完成后,运行 lab-grade-secure-web 评估脚本以确定一切已正确完成。
需求描述在 serverX 上部署 Web 服务器。安装 mod_ssl 包。重新启动 Web 服务。启用防火墙并允许 HTTP 和 HTTPS 端口。创建/ tmp/d.html 并将其移动到 Web 服务器主目录尝试显示 http://serverX/d.html 应失败。将 d.html 上的上下文更改为 httpd_sys_content_t 。
完成后,运行 lab-grade-secure-web 评估脚本以确定一切已正确完成。
1212
实验:管理 实验:管理 SELinuxSELinux 实验:管理 实验:管理 SELinuxSELinux
需求描述将 web.content.tgz 归档文件从 192.168.0.254:/var/ftp/pub/materials 复制到 /tmp 。 将归档文件提取到 /rmp 。 将提取的目录移至 /var/www/html 。 启动 Web 服务。 通过浏览器访问 http://serverX/web_content ,以尝试观察新目录。 从您的系统中搜索尝试浏览新安装的内容时可能生成的所有 SELinux 冲突的 uuid 。 生成冲突的文本报告。 按照报告的建议恢复新安装内容的 SELinux 上下文。 通过访问 http://servcrX/web_content 确认您可以通过 Web 浏览器查看资料
需求描述将 web.content.tgz 归档文件从 192.168.0.254:/var/ftp/pub/materials 复制到 /tmp 。 将归档文件提取到 /rmp 。 将提取的目录移至 /var/www/html 。 启动 Web 服务。 通过浏览器访问 http://serverX/web_content ,以尝试观察新目录。 从您的系统中搜索尝试浏览新安装的内容时可能生成的所有 SELinux 冲突的 uuid 。 生成冲突的文本报告。 按照报告的建议恢复新安装内容的 SELinux 上下文。 通过访问 http://servcrX/web_content 确认您可以通过 Web 浏览器查看资料
top related