前言,这篇文章是操作系统安全的大作业,分享是一种美德
SELinux分析报告
一.SELinux的基础理论
SELinux是一种Linux的内核模块,本质是Linux的一个安全子系统,本质是改进了对内核对象的服务的访问控制,改进了对进程初始化,继承和程序执行的访问控制,改进了对文件系统,目录和打开文件描述的访问控制还改进了对端口,信息和网络接口的访问控制,总而言之就是最大限度减少系统中服务进程可以访问的资源,通过政策和规则规定 访问资源对象,通过安全上下文来决定主体进程是否有权利进行访问。SELinux的基本原则是MAC机制,其主要采用的手段是RBAC(基于角色的访问控制机制)和TE(类型加强),MLS(多级安全),基于标识的访问控制(IBAC),在SELinux当中每一条访问都要经过访问规则的允许,而访问规则存储在访问策略当中,访问策略又是由源代码(用户配置文件)进行编译之后生成的二进制文件存放到内存当中,内核通过在内存中的策略库进行使用
SELinux内核的体系主要是两个体系组成,一个是LSM,其作用是通过HOOK函数组成安全控制框架,一个是FLASK其作用是安全策略到访问控制的转换
在实际情况下,一个操作首先是通过DAC的ACL验证,接着通过SELinux权限认证
过程如下首先策略强制服务会检查AVC当中是否有策略的决策缓存,如果有就直接得到结果,如果没有那么收集主体和客体手机安全上下文,然后将安全上下文发送给安全服务器,安全服务器负责决策,决策返回给AVC进行缓存并返回给策略强制服务器。
判断途径如下:
下面说一说FLASK的主要组成,其分为两个服务 一个是客体管理负责客体安全上下文和执行实施策略决定,另外一个是安全服务器,用来产生策略决定
安全服务必须满足RBAC(基于角色的访问控制机制)和TE(类型加强),MLS(多级安全),基于标识的访问控制(IBAC)策略
其中RBAC和IBAC不用说,是两种访问控制的方法,其中TE是将主体和客体定义一个类型,详细说说MLS
MLS给用户提供了不同等级安全水平来访问系统,采用的安全模型是BLP模型(组织低级别读取高级别的安全数据),
安全上下文有安全标识(SID)和用户ID,角色,MLS分级等
SELinux 的工作图
二.探寻SELinux其中的配置
查看是否开启SELinux
默认是没有开启的
从SELinux的工作模式说起
Enforcing:强制模式。违反SELinux 规则的行为将被阻止,无法继续操作并记录到日志中。
permissive:宽容模式。违反 SELinux 规则的行为只会记录到日志中。还可以继续操作
disabled:关闭 SELinux。
SELinux 工作模式可以在 /etc/selinux/config 中设定。
这其中提到了日志,日志的服务进程是auditd.service ,这个服务将保存所产生的日志文件,所以不关闭
打开selinux
查看SELinux的配置状态
查看SELinux当中的规则
查看进程中的安全上下文
其中system_u 是USER字段用来记录身份
system_r 是程序的ROLE字段
再后面的字段是程序的TYPE字段,表示这个程序属于那种字段的
最后的s0是安全级别
SELinux的接口配置文件
Avc的代码在avc.c当中,与服务器接口定义 avc_ss.h当中,hook函数定义avc.h当中
查看一个策略中的文件结构
查看proc当中的安全上下文
Current代表的是当前安全上下文,prev代表的是上次执行前是的上下文,exec代表的是下一次的安全上下文
查看默认的安全上下文
查看一个安全策略的源代码
查看SELinux的日志
这样查看太麻烦了使用工具进行查看
三.探究SELinux实际对系统的影响
1.修改上下文对文件访问的影响
修改上下文
因为这两个文件的类型不同,所以在执行服务的时候会造成进程和文件之间的上下文不匹配的情况造成a.html不能访问
为了让我们的a.html能够访问,在这里修改a.html的上下文和b的上下文一样
使用chcon进行修改之后再进行访问
访问成功
[if !supportLists]2. [endif]通过配置SELinux来配置对FTP服务器的影响
查看SELinux策略
getsebool -a 发现是关闭的
匿名登录ftp发现在ftp设置好的情况下是不能创建新的文件夹
这个时候的vsftp.conf当中的内容
关闭SELinux并修改目录权限可以成功
证明和SELinux有关
那么如何在开启SELinux的情况下开启ftp匿名创建文件夹呢?
此时不能匿名上传的根本原因是/var/ftp/pub 文件夹没有写入的功能
修改此时的文件夹的上下文
发现成功可以成功写入新的文件
四.参考文献
鸟哥的Linux私房菜:基础学习篇 第四版 —— SELinux 初探
Linux安全体系分析与编程
网友评论