SELinux 下網絡服務設置:Apache 、Samba、NFS
SELinux 的安全防護措施主要集中在各種網絡服務的訪問控制。對于像 Apache 、Samba、NFS、vsftp 、MySQL、Bind dns 等服務來說,SELinux 僅僅開放了最基本的運行需求。至于連接外部網絡、運行腳本、訪問用戶目錄、共享文件等,必須經過一定的 SELinux 策略調整才能充分發(fā)揮網絡服務器的作用,在安全和性能直接獲取平衡。
當啟用 SELinux 是,Apache HTTP 服務器(httpd)默認情況下在受限的 httpd_t 域中運行,并和其他受限制的網絡服務分開。即使一個網絡服務被攻擊者破壞,攻擊者的資源和可能造成的損害是有限的。下面的示例演示的是 SELinux 下的 httpd 進程。
$ ps -eZ | grep httpd unconfined_u:system_r:httpd_t:s0 2850 ? 00:00:00 httpd unconfined_u:system_r:httpd_t:s0 2852 ? 00:00:00 httpd …… |
和 SELinux 上下文相關的 httpd 進程是 system_u:system_r:httpd_t:s0。 httpd 進程都運行在 httpd_t 域中。文件類型必須正確設置才能讓 httpd 訪問 。例如 httpd 可以讀取文件類型是 httpd_sys_content_t,但不能寫和修改。此外 httpd 不能訪問 samba_share_t 類型的文件(Samba 訪問控制的文件),也不能訪問用戶主目錄中被標記為與 user_home_t 文件類型,主要是防止 httpd 讀寫用戶主目錄中的文件并且繼承其訪問權限。httpd 可以讀寫的文件類型是 httpd_sys_content_rw_t。Apache 默認的文檔根目錄類型是 httpd_sys_content_t。除非另外設置 httpd 只能訪問 / var/www/html/ 目錄中的 httpd_sys_content_t 類型的文件和子目錄。此外 SELinux 還針對 httpd 定義了一些文件類型:
- httpd_sys_content_t 主要用于提供靜態(tài)內容服務的文件,如 HTML 靜態(tài)網站使用的文件。這種類型的標記文件可以訪問(只讀)httpd 和執(zhí)行腳本 httpd。默認情況下,這種類型的文件和目錄標記不能被寫入或修改 httpd 或其他進程。注意:默認情況下,創(chuàng)建的文件或復制到的 /var/www/html/httpd_sys_content_t 類型的標記。
- httpd_sys_script_exec_t 主要用于設置 /var/www/cgi-bin/ 目錄下的 cgi 腳本。默認情況下 SELinux 策略防止 httpd 執(zhí)行 CGI 腳本。
- httpd_sys_content_rw_t 使用 httpd_sys_content_rw_t 的類型標簽讀取和寫腳本標記文件 httpd_sys_script_exec_t 的類型。
- httpd_sys_content_ra_t 使用 httpd_sys_content_ra_t 的類型標簽將讀取和附加標記的腳本文件 httpd_sys_script_exec_t 類型。
如果需要修改文件和目錄的 SELinux 類型屬性時可以使用三個命令:chcon、 semanage fcontext 和 restorecon 命令 。說明:使用 chcon 命令來對文件的類型進行重新標識。然而,這樣的標識不是永久性的修改,一旦系統(tǒng)重啟,該標識就會改變回去。對于文件類型的永久性改變,需要采用 semanage 命令。chcon、 semanage fcontext 和 restorecon 三個命令是本文的重點下面首先介紹一下使用方法:
(1)chcon 命令
作用:chcon 命令用來改變 SELinux 文件屬性即修改文件的安全上下文
用法:chcon [ 選項 ] CONTEXT 文件
主要選項 :
-R:遞歸改變文件和目錄的上下文。
--reference:從源文件向目標文件復制安全上下文
-h, --no-dereference:影響目標鏈接。
-v, --verbose:輸出對每個檢查文件的診斷。
-u, --user=USER:設置在目標用戶的安全上下文。
-r,--role=ROLE:設置目標安全領域的作用。
-t, --type=TYPE:在目標設定的安全上下文類型。
-l, --range=RANGE:設置 set role ROLE in the target security context 目標安全領域的范圍。
-f:顯示少量錯誤信息。
(2)restorecon 命令
作用:恢復 SELinux 文件屬性文件屬性即恢復文件的安全上下文
用法:restorecon [-iFnrRv] [-e excludedir ] [-o filename ] [-f filename | pathname...]
主要選項 :
-i:忽略不存在的文件。
-f:infilename 文件 infilename 中記錄要處理的文件。
-e:directory 排除目錄。
-R – r:遞歸處理目錄。
-n:不改變文件標簽。
-o outfilename:保存文件列表到 outfilename,在文件不正確情況下。
– v:將過程顯示到屏幕上。
-F:強制恢復文件安全語境。
說明;restorecon 命令和 chcon 命令類似,但它基于當前策略默認文件上下文文件設置與文件有關的客體的安全上下文,因此,用戶沒有指定一個安全上下文,相反,restorecon 使用文件上下文文件的條目匹配文件名,然后應用特定的安全上下文,在某些情況下,它是在還原正確的安全上下文。
(3)semanage fcontext 命令
作用:管理文件安全上下文
用法:
semanage fcontext [-S store] -{a|d|m|l|n|D} [-frst] file_spec
semanage fcontext [-S store] -{a|d|m|l|n|D} -e replacement target
主要選項 :
-a:添加
-d:刪除
-m:修改
-l:列舉
-n:不打印說明頭
-D:全部刪除
-f:文件
-s:用戶
-t:類型
r:角色
對于網絡服務而言,SElinux 僅僅開放了最低運行需求,為了發(fā)揮 Apache 服務器的功能還必須把布爾值必須打開,以允許某些行為包括允許 httpd 腳本網絡訪問, 允許 httpd 訪問 NFS 和 CIFS 文件系統(tǒng), 允許執(zhí)行通用網關接口(CGI)腳本 。可以使用命令 getsebool 查詢當前布爾變量。然后可以使用下面的 setsebool 命令開放布爾變量:
#setsebool – P httpd_enable_cgi on |
下面是常用的布爾變量:
- allow_httpd_anon_write 禁用時這個布爾變量允許的 httpd 到只有標記文件 public_content_rw_t 類型的讀取訪問。啟用此布爾變量將允許的 httpd 寫入到文件標記與一個公共文件目錄包 含一個公共文件傳輸服務,如 public_content_rw_t 類型。
- allow_httpd_mod_auth_pam 啟用此布爾變量允許 mod_auth_pam 模塊訪問 httpd。
- allow_httpd_sys_script_anon_write 這個布爾變量定義 HTTP 腳本是否允許寫訪問到文件標記在一個公共文件傳輸服務 public_content_rw_t 類型。
- httpd_builtin_scripting 這個布爾變量定義 httpd 的腳本的訪問。在這個布爾變量啟用,往往需要為 PHP 內容。
- httpd_can_network_connect 禁用時這個布爾變量防止從網絡或遠程端口發(fā)起連接的 HTTP 腳本和模塊。打開這個布爾變量允許這種訪問。
- httpd_can_network_connect_db 禁用時這個布爾變量防止發(fā)起一個連接到數據庫服務器的 HTTP 腳本和模塊。打開這個布爾變量允許這種訪問。
- httpd_can_network_relay 打開這個當布爾變量的 httpd 正在使用正向或反向代理。
- httpd_can_sendmail 禁用時這個布爾變量防止發(fā)送郵件的 HTTP 模塊。這可以防止垃圾郵件的攻擊漏洞中發(fā)現的 httpd。打開這個布爾變量允許 HTTP 模塊發(fā)送郵件。
- httpd_dbus_avahi 關閉時這個布爾變量拒絕服務的 avahi 通過 D-BUS 的 httpd 訪問。打開這個布爾變量允許這種訪問。
- httpd_enable_cgi 禁用時這個布爾變量防止 httpd 的執(zhí)行 CGI 腳本。打開這個布爾變量讓 httpd 的執(zhí)行 CGI 腳本。
- httpd_enable_ftp_server 開放這個布爾變量會容許的 httpd 作為 FTP 服務器的 FTP 端口和行為。
- httpd_enable_homedirs 禁用時這個布爾變量阻止訪問用戶主目錄的 httpd。打開這個布爾變量允許 httpd 訪問用戶主目錄。
- httpd_execmem 啟用時這個布爾變量允許 httpd 的執(zhí)行程序需要的內存地址。建議不要啟用這個布爾變量從安全角度來看,因為它減少了對緩沖區(qū)溢出,但是某些模塊和應用程序(如 Java 和 Mono 應用)的保護需要這種特權。
- httpd_ssi_exec 這個布爾變量定義服務器端包含(SSI)的網頁中的元素是否可以執(zhí)行。
- httpd_tty_comm 這個布爾變量定義的 httpd 是否被允許訪問的控制終端。這種訪問通常是不需要的,但是,如配置 SSL 證書文件的情況下,終端訪問所需的顯示和處理一個密碼提示。
- httpd_use_cifs 打開這個布爾變量允許 httpd 訪問 CIFS 文件系統(tǒng)上標記的文件,如通過 Samba 掛載的文件系統(tǒng),cifs_t 類型。
- httpd_use_nfs 打開這個布爾變量允許 httpd 訪問 NFS 文件系統(tǒng)上的標記文件 nfs_t 類型,如文件系統(tǒng),通過 NFS 掛載。
(1) 運行一個靜態(tài) web 網頁
假設使用如下命令:mkdir /mywebsite ,建立一個文件夾作為 Apache 服務器的文檔根目錄。可以使用如下命令查看其文件屬性:
# ls -dZ /mywebsite drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /mywebsite |
按照 SELinux 策略規(guī)定和繼承原則,/mywebsite 目錄和其中的文件會具有 default_t 類型,,包括以后創(chuàng)建的文件或者子目錄也會繼承和擁有這種類型,這樣受限的 httpd 進程是不能訪問的,可以使用 chcon 和 restorecon 命令修改 /mywebsite 的文件類型屬性,確保之后建立的文件和復制的文件具有相同 httpd_sys_content_t 的類型,從而使受限的 httpd 進程能夠訪問。
# chcon -R -t httpd_sys_content_t /mywebsite # touch /mywebsite/index.html # ls -Z /mywebsite /website/index.html -rw-r--r-- root root unconfined_u:object_r:httpd_sys_content_t:s0 /mywebsite /index.html |
下面修改 /etc/httpd/conf/httpd.conf 文件,改為:
#DocumentRoot "/var/www/html" DocumentRoot "/mywebsite" |
然后重啟 Apache 服務器。
如果要要徹底修改 /mywebsite 的文件類型屬性,使之重新啟動后設置還有效,可以使用 semanage fcontext 和 restorecon 命令
# semanage fcontext -a -t httpd_sys_content_t "/mywebsite(/.*)?" # restorecon -R -v /mywebsite |
(2) 共享 NFS 和 CIFS 文件系統(tǒng)
默認情況下,在客戶端的 NFS 掛載 NFS 文件系統(tǒng)的政策定義一個默認的上下文標記這個默認的上下文使用 nfs_t 類型。此外默認情況下,Samba 共享客戶端上安裝有策略的定義一個默認的上下文標記。這個默認的上下文使用 cifs_t 類型。根據 SELinux 策略配置,Apache 服務可能無法讀取 nfs_t 或 cifs_t 類型。通過設置布爾值開啟或關閉來控制哪個服務被允許訪問 nfs_t 和 cifs_t 類型。
例如使用 setsebool 命令打開 httpd_use_nfs 布爾變量后,httpd 即可訪問 nfs-t 類型的 nfs 共享資源了:
# setsebool -P httpd_use_nfs on |
例如使用 setsebool 命令打開 httpd_use_cifs 布爾變量后,httpd 即可訪問 cifs_t 類型的 cifs 共享資源了:
# setsebool -P httpd_use_cifs on |
(3)更改端口號
根據策略配置,服務可能只被允許運行在特定的端口號 。試圖改變服務運行的端口,在不改變政策,可能導致啟動失敗的服務。首先查看一下 SELinux 允許 HTTP 偵聽 TCP 端口,使用命令:
# semanage port -l | grep -w http_port_t
http_port_t tcp 80, 443, 488, 8008, 8009, 8443
可以看到默認情況下,SELinux 允許 HTTP 偵聽 TCP 端口 80,443,488,8008,8009 或 8443。假設要把端口號 80 修改為 12345 ,下面看看修改端口號的方法:
修改配置文件 /etc/httpd/conf/httpd.conf 為
# Change this to Listen on specific IP addresses as shown below to # prevent Apache from glomming onto all bound IP addresses (0.0.0.0) #Listen 12.34.56.78:80 Listen 10.0.0.1:12345 |
使用命令修改:
# semanage port -a -t http_port_t -p tcp 12345 |
然后確認一下:
# semanage port -l | grep -w http_port_t http_port_t tcp 12345, 80, 443, 488, 8008, 8009, 8443 |
SELinux 環(huán)境中,Samba 服務器的 smbd 和 nmbd 守護進程都是在受限的 smbd_t 域中運行。并且和其他受限的網絡服務相互隔離。下面的示例演示的是 SELinux 下的 smb 進程
$ ps -eZ | grep smb unconfined_u:system_r:smbd_t:s0 16420 ? 00:00:00 smbd unconfined_u:system_r:smbd_t:s0 16422 ? 00:00:00 smbd |
缺省情況下,smbd 只能讀寫 samba_share_t 類型的文件 , 不能讀寫 httpd_sys_content_t 類型的文件。如果希望 smbd 能讀寫 httpd_sys_content_t 類型的文件,可以重新標記文件的類型。另外還可以修改布爾值如允許 Samba 提供 NFS 文件系統(tǒng)等共享資源。如果需要修改文件和目錄的 SELinux 類型屬性時可以使用三個命令:chcon、 semanage fcontext 和 restorecon 命令 。
SELinux 也為 Samba 提供了一些布爾變量用來調整 SELinux 策略,如果希望 Samba 服務器共享 NFS 文件系統(tǒng),可以使用如下命令:
# setsebool -P samba_share_nfs on
下面是常用的布爾變量;
- allow_smbd_anon_write 開放此布爾變量啟用允許 smbd 保留一個區(qū)域的共同文件。
- samba_create_home_dirs 開放此布爾變量啟用允許 Samab 獨立創(chuàng)建新的主目錄。這通常是用于 PAM 機制。
- samba_domain_controller 當啟用此布爾變量時允許 Samba 作為域控制器,以及賦予它的權限執(zhí)行相關的命令,如使用 useradd,groupadd 的 和 passwd 。
- samba_enable_home_dirs 啟用此布爾變量允許 Samba 共享用戶的主目錄。
- samba_export_all_rw 啟用此布爾變量允許公布任何文件或目錄,允許讀取和寫入權限。
- samba_run_unconfined 啟用此布爾變量允許允許的 Samba 運行 / var / lib/samba/ scripts 目錄中的腳本。
- samba_share_nfs 啟用此布爾變量將允許 Samba 共享 NFS 文件系統(tǒng)。
- use_samba_home_dirs 啟用此布爾變量可以使用遠程服務器 Samba 的主目錄。
- virt_use_samba 允許虛擬機訪問 CIFS 文件。
(1) 共享一個新建的目錄
受限創(chuàng)建一個目錄作為 Samba 的共享資源,然后在目錄下建立一個文件檢驗共享是否成功。
#mkdir /myshare #touch /myshare/file1 |
設置創(chuàng)建目錄和目錄中文件的類型
#semanage fcontext -a -t samba_share_t "/myshare(/.*)?" # restorecon -R -v /myshare |
修改 Samba 配置文件 /etc/samba/smb.conf,添加共享資源定義包括如下行::
[myshare] comment = My share path = /myshare public = yes writeable = yes 創(chuàng)建一個 samba 用戶 # smbpasswd -a testuser New SMB password: Enter a password Retype new SMB password: Enter the same password again Added user testuser. |
啟動 Samba 服務
service smb start |
查詢可以使用的共享資源:
$ smbclient -U testuser -L localhost |
使用 mount 命令掛載共享資源,并且檢驗文件:
#mount //localhost/myshare /test/ -o user= testuser # ls /test/ |
(2)共享一個網頁
如果要共享一個網頁文件目錄如 Apache 服務器的 /var/www/html,是不能使用文件類型的。此時可以使用 samba_export_all_ro 和 samba_export_all_rw 兩個布爾值變量,達到共享目錄和文件的目的。步驟如下:
修改 samba 配置文件,添加如下行:
[website] comment = Sharing a website path = /var/www/html/ public = yes writeable = yes |
開放 samba_export_all_ro 布爾值變量
#setsebool -P samba_export_all_ro on |
設置權限:
#chmod 777 /var/www/html/ |
共享目錄:
#mount //localhost/myshare /test/ -o user= testuser # ls /test/ |
SELinux 環(huán)境中,nfs 服務器的守護進程都是在受限的 nfs_t 域中運行。并且和其他受限的網絡服務相互隔離。SELinux 策略不允許使用 NFS 共享遠程文件。如果一定要共享遠程文件,可以使用 nfs_export_all_ro 和 nfs_export_all_rw 等布爾值變量調整 SELinux 的策略。按照 SELinux 的策略規(guī)定客戶端安裝 NFS 文件系統(tǒng)采用的默認文件系統(tǒng)是 nfs_t,此外 SELinux 還針對 nfsd 定義了一些文件類型:
- var_lib_nfs_t 這種類型用于現有的和新的文件復制或在創(chuàng)建的 /var/lib/nfs 目錄中。在正常運行這種類型應該不需要改變。要恢復到默認設置,可以使用超級用戶權限運行命令:restorecon -R -v /var/lib/nfs。
- nfsd_exec_t /usr/sbin/rpc.nfsd 程序文件和其他涉及到 NFS 可執(zhí)行文件和庫都是這種類型。其他文件不使用此類型的任何文件。
SELinux 提供了幾個布爾變量用來調整 NFS,你可以在系統(tǒng)安全和 NFS 功能之間取得平衡。例如:
將本機的 NFS 共享設置成可讀可寫,需要開放相關布爾值變量:
#setsebool -P nfs_export_all_rw on |
如果你想要將遠程 NFS 的家目錄共享到本機,需要開放相關布爾值變量:
#setsebool -P use_nfs_home_dirs on |
下面是常用的布爾變量;
- allow_ftpd_use_nfs 當啟用時這個布爾變量允許 ftpd 訪問 NFS 掛載。
- allow_nfsd_anon_write 當啟用時這個布爾變量允許寫入到一個公共目錄匿名 nfsd。
- httpd_use_nfs 當啟用時這個布爾變量容許的 httpd 訪問一個 NFS 文件系統(tǒng)上存儲的文件。
- nfs_export_all_ro 當啟用時這個布爾變量允許任何文件或目錄通過 NFS 導出,允許只讀權限。
- nfs_export_all_rw 當啟用時這個布爾變量允許任何通過 NFS 導出的文件或目錄,允許讀取和寫入權限。
- qemu_use_nfs 當啟用時這個布爾變量允許 QEMU 使用 NFS 文件系統(tǒng)。
- samba_share_nfs 啟用此布爾變量將允許 Samba 共享 NFS 文件系統(tǒng)。
- use_nfs_home_dirs 當啟用時這個布爾變量允許將支持 NFS 主目錄。
- virt_use_nfs 當啟用時這個布爾變量允許虛擬機訪問 NFS 文件。
- xen_use_nfs 當啟用時這個布爾變量允許 Xen 使用 NFS 文件。
這個例子中 NFS 服務器的 IP 地址 192.168.1.1,NFS 客戶端的 IP 地址為 192.168.1.10,兩臺主機在同一子網(192.168.1.0/24)。
首先在 NFS 服務器端使用 setsebool 命令確保 nfs_export_all_rw 布爾變量已經打開,使得 NFS 客戶端能夠以只讀的方式安裝 NFS 文件系統(tǒng)。然后創(chuàng)建一個頂級目錄,作為共享資源,然后在目錄中建立一個文件提供給客戶端訪問,命令如下:
#setsebool -P nfs_export_all_rw on #mkdir – p /share/nfs #cp /etc/profile /share/nfs/test # chmod - R 777 /share/nfs |
下面編輯 /etc/exports 文件把共享資源加入。
/share/nfs 192.168.1.10(rw) |
確保防火墻修改設置正確。然后啟動 nfs 服務
# service nfs start Starting NFS services: [ OK ] Starting NFS quotas: [ OK ] Starting NFS daemon: [ OK ] Starting NFS mountd: [ OK ] |
運行 exports 命令確保共享資源公布,使用 showmount 命令查詢共享資源。
#exportfs -rv exporting 192.168.1.10:/share/nfs # showmount -e Export list for nfs-srv: /share/nfs 192.168.1.10 |
下面在 NFS 客戶端可以使用命令掛載 NFS 服務器的共享資源了 :
# mount.nfs 192.168.1.1:/share/nfs /mnt # ls /mnt total 0 -rwxrwxrwx. 1 root root 0 2012-01-16 12:07 test |
原文:http://www.ibm.com/developerworks/cn/linux/l-cn-selinux-services1/index.html?ca=drs-
