Embed Size (px)
DESCRIPTION
第十八章 管理 SELinux. 本章内容. 基本 SELinux 安全性概念 SELinux 模式 SELinux 脉络 SELinux 布尔值 监控 SELinux 冲突. SELinux 的基本概念. SELinux(Security-Enhanced Linux) 是美国国家安全局( NSA )对于强制访问控制的实现,是 Linux 上最杰出的新安全子系统。 NSA 是在 Linux 社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件. SELinux 的介绍. - PowerPoint PPT Presentation
Citation preview
11
第十八章 管理第十八章 管理 SELinuxSELinux
22
本章内容本章内容本章内容本章内容
基本 SELinux 安全性概念SELinux 模式SELinux 脉络SELinux 布尔值监控 SELinux 冲突
基本 SELinux 安全性概念SELinux 模式SELinux 脉络SELinux 布尔值监控 SELinux 冲突
33
SELinuxSELinux 的基本概念的基本概念SELinuxSELinux 的基本概念的基本概念
SELinux(Security-Enhanced Linux) 是美国国家安全局( NSA )对于强制访问控制的实现,是 Linux 上最杰出的新安全子系统。NSA 是在 Linux 社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
SELinux(Security-Enhanced Linux) 是美国国家安全局( NSA )对于强制访问控制的实现,是 Linux 上最杰出的新安全子系统。NSA 是在 Linux 社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
44
SELinuxSELinux 的介绍的介绍SELinuxSELinux 的介绍的介绍
SELinux 是一组可确定哪个进程能访问文件、目录、端口等的安全规则SELinux 标签有若干上下文,最关注类型上下文SELinux 的目标是保护用户数据免受已泄露的系统服务的威胁
SELinux 是一组可确定哪个进程能访问文件、目录、端口等的安全规则SELinux 标签有若干上下文,最关注类型上下文SELinux 的目标是保护用户数据免受已泄露的系统服务的威胁
55
SELinuxSELinux 模式模式SELinuxSELinux 模式模式强制模式: Enforcing
许可模式: Permissive
禁用模式: Disabled
强制模式: Enforcing
许可模式: Permissive
禁用模式: Disabled
66
SELinuxSELinux 的模式的模式SELinuxSELinux 的模式的模式
EnforcingDisabled Permissive
77
显示和修改显示和修改 SELinuxSELinux 模式模式显示和修改显示和修改 SELinuxSELinux 模式模式
修改 /etc/sysconfig/selinux 文件显示当前 SELinux 模式: getenforce
修改当前 SELinux 模式: setenforce
修改 /etc/sysconfig/selinux 文件显示当前 SELinux 模式: getenforce
修改当前 SELinux 模式: setenforce
88
显示和修改 显示和修改 SELinuxSELinux 文件上下文文件上下文显示和修改 显示和修改 SELinuxSELinux 文件上下文文件上下文
查看进程的 SELinux 上下文: ps -axZ
查看文件的 SELinux 上下文: ls -lZ
修改文件的 SELinux 上下文: chcon -t 上下文类型 文件名
查看进程的 SELinux 上下文: ps -axZ
查看文件的 SELinux 上下文: ls -lZ
修改文件的 SELinux 上下文: chcon -t 上下文类型 文件名
99
管理管理 SELinuxSELinux 布尔值布尔值管理管理 SELinuxSELinux 布尔值布尔值
SELinux 布尔值是更改 SELinux 策略行为的开关SELinux 布尔值是可以启用或者禁用的规则显示布尔值: getsebool –a
修改布尔值: setsebool –P 类型 on|off
SELinux 布尔值是更改 SELinux 策略行为的开关SELinux 布尔值是可以启用或者禁用的规则显示布尔值: getsebool –a
修改布尔值: setsebool –P 类型 on|off
1010
监控监控 SELinux SELinux 修改修改监控监控 SELinux SELinux 修改修改
安装 setroubleshoot-server 软件包,将消息发送给 /var/log/messages 文件,包括 SELinux 冲突的唯一标识符 UUID
sealert –l UUID 用于生成特定事件的报告 sealert -a /var/log/audit/audit.log 用于在该文件中生成所有事件的报告
安装 setroubleshoot-server 软件包,将消息发送给 /var/log/messages 文件,包括 SELinux 冲突的唯一标识符 UUID
sealert –l UUID 用于生成特定事件的报告 sealert -a /var/log/audit/audit.log 用于在该文件中生成所有事件的报告
1111
实验:管理 实验:管理 SELinuxSELinux实验:管理 实验:管理 SELinuxSELinux
需求描述在 serverX 上部署 Web 服务器。安装 mod_ssl 包。重新启动 Web 服务。启用防火墙并允许 HTTP 和 HTTPS 端口。创建/ tmp/d.html 并将其移动到 Web 服务器主目录尝试显示 http://serverX/d.html 应失败。将 d.html 上的上下文更改为 httpd_sys_content_t 。
完成后,运行 lab-grade-secure-web 评估脚本以确定一切已正确完成。
需求描述在 serverX 上部署 Web 服务器。安装 mod_ssl 包。重新启动 Web 服务。启用防火墙并允许 HTTP 和 HTTPS 端口。创建/ tmp/d.html 并将其移动到 Web 服务器主目录尝试显示 http://serverX/d.html 应失败。将 d.html 上的上下文更改为 httpd_sys_content_t 。
完成后,运行 lab-grade-secure-web 评估脚本以确定一切已正确完成。
1212
实验:管理 实验:管理 SELinuxSELinux 实验:管理 实验:管理 SELinuxSELinux
需求描述将 web.content.tgz 归档文件从 192.168.0.254:/var/ftp/pub/materials 复制到 /tmp 。 将归档文件提取到 /rmp 。 将提取的目录移至 /var/www/html 。 启动 Web 服务。 通过浏览器访问 http://serverX/web_content ,以尝试观察新目录。 从您的系统中搜索尝试浏览新安装的内容时可能生成的所有 SELinux 冲突的 uuid 。 生成冲突的文本报告。 按照报告的建议恢复新安装内容的 SELinux 上下文。 通过访问 http://servcrX/web_content 确认您可以通过 Web 浏览器查看资料
需求描述将 web.content.tgz 归档文件从 192.168.0.254:/var/ftp/pub/materials 复制到 /tmp 。 将归档文件提取到 /rmp 。 将提取的目录移至 /var/www/html 。 启动 Web 服务。 通过浏览器访问 http://serverX/web_content ,以尝试观察新目录。 从您的系统中搜索尝试浏览新安装的内容时可能生成的所有 SELinux 冲突的 uuid 。 生成冲突的文本报告。 按照报告的建议恢复新安装内容的 SELinux 上下文。 通过访问 http://servcrX/web_content 确认您可以通过 Web 浏览器查看资料
