跳到主要內容

Linux操作不求人 - 伍章之參 - SELinux 管理操作工具

     SELinux (Secure-Enhance Linux,https://en.wikipedia.org/wiki/Security-Enhanced_Linux),為 Linux 核心內的強制存取控制(MSA)的實現,已最小權限原則為基礎的安全模組,CentOS4版本便已經預設內建。SELinux主要為美國國安局(NSA)所開發,詳細資訊可參考https://www.nsa.gov/what-we-do/research/selinux/,就不再各位高手高手高高手面前贅述。我們主要直接進入SELinux的操作設定,而非不想面對的如其他說法:先 關 閉 它,如此反而造成系統的安全性疏漏。
首先,我們必須先利用 yum 下載 SELinux的 管理工具 policycoreutils,與錯誤紀錄工具 setromubleshooting,如圖5-3-1,使用 yum install policycoreutils-*


















(圖5-3-1)

     因SELinux管理工具為 Python 所撰寫,在使用之前,先檢視是否有更改系統預設 Python版本有改變 ( 如CentOS6預設為Python2.6,有些操作者可能自行換了 Python2.7,故要修改python  路徑),若改變Python 預設環境,會造成管理工具的執行錯誤,故需逐一變更管理工具所引用的 Python環境,或修改 /bin/python 或 /usr/bin/python 之版本。在 CentOS6下,SELinux 的設定檔置於 /etc/selinux/config。我們先用指令 getsebool,來獲得 SELinux 現有的預設設定。亦可以用 semanage boolean -l ,來看到每個boolean的說明,如圖5-3-2 至 圖5-3-6。semodule -l 可查看各政策模組的版本。以下條件都是由不同模組來提供他們是否開啟的boolean參數,若要更改永久設定,可使用指令 setsebool -P,如更改可開放個人home資料夾下作為httpd網站,則除設定網站 httpd 伺服器的 config外,還要注意設定selinux policy 為
 setsebool -P  httpd_home_dirs on

setsebool -P httpd_home_dirs=1 httpd_home_dirs=1  ftp_home_dir=1  #同時設定多筆參數。

圖5-3-2可以看到現在設定狀況與預設值為何,後面亦有設定值可以控制的範圍說明。






















(圖5-3-2)




































(圖5-3-3)

以下我們逐條說明 圖5-3-3 可以控制的模組:
prefix abrt_ 系列,abrt 為自動錯誤報告工具,可協助開發者提供匿名錯誤回報。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/ch-abrt
abrt_annon_write - 讓 abrt 以匿名寫入
abrt_handle_event - 讓 abrt 處理報告事件
prefix allow_ 模組:
allow_console_login - 允許利用console終端機登入文字界面
allow_cvs_read_shadow - 允許 版本控制軟體 cvs 可以讀取shadow 備份檔
prefix allow_daemons_ 模組 :
allow_daemon_dump_core - 允許 核心包裹服務啟用,可用來追蹤核心錯誤
allow_daemon_use_tcp_wrapper - 允許 tcp warpper的服務,如前面篇章提到的/etc/hosts.allow 與 /etc/hosts.deny 的設定
allow_daemon_use_tty - 允許 可登入多終端機 tty  之服務。
allow_daemons_fd_use - fd (file descripter, 如 stdin stdout stderr)
allow_execheap - 允許未受限制的執行檔,執行自己的heap記憶體。(https://www.gribblelab.org/CBootCamp/7_Memory_Stack_vs_Heap.html)
allow_execmem - 允許未受限制執行檔將自己的heap設定為可執行與寫入。
allow_execmod -允許為標示 textrel_shlib_t 的未受限制執行檔使用內容重定位的程式庫。
allow_execstack - 允許未受限制執行檔將自己的stack記憶體設為可執行。
prefix allow_ftpd_:
allow_ftpd_anon_write - ftpd 可以上傳到 public_content_rw_t policy 的目錄(用 ls -lZ 可看policy)
allow_ftpd_full_access - 允許 ftp可全權存取系統檔案
allow_ftpd_use_cifs - 允許ftp可存取 cifs(samba) 網路磁碟格式
allow_ftpd_use_nfs - 允許ftp可存取 nfs 網路磁碟格式
allow_gssd_read_tmp - 允許general security service daemon 讀取 tmp 資料夾
allow_guest_exec_content - 允許guest 權限可執行內容(https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-working_with_selinux-mounting_file_systems)
allow_httpd_anon_write - 允許 httpd 可上傳到 public_content_rw_t,有時網路程式不能上傳要考慮此原因。
allow_httpd_mod_auth_ntlm_winbind - 允許httpd使用 mod_auth_ntlm_winbind 模組(windows ntlm 認證)
allow_httpd_mod_auth_pam - 允許 httpd 使用mod_auth_pam的模組
allow_httpd_sys_script_anon_write - 允許 httpd 可以使用 scripts 寫入 public_content_rw_t 的目錄
allow_java_execstack - 防止 java 記憶體 stack型態攻擊(off)
allow_kerberos - kerberos (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/managing_smart_cards/using_kerberos)
allow_mount_anyfile - 允許掛載任何檔案
allow_maplyer_execstack - 允許mplayer將自己執行檔內的記憶體stack設為可執行
allow_nsplugin_execmem -
allow_polyinstantiation - 啟用 polyinstatiation 支援(https://www.ibm.com/developerworks/library/l-polyinstantiation/index.html)
allow_postfix_local_write_mail_spool - 允許postfix可寫入mail spool,才可正常收發信
allow_ptrace - 允許 sysadm_t policy 針對應用程式使用 ptrace
allow_rsync_anon_write - 允許rsync可以寫入 public_content_rw_t 的目錄
allow_saslauthd_read_shadow - 允許 saslauthd 可以讀取 /etc/shadow 帳密檔
allow_smbd_anon_write - 允許 samba 將檔案寫入 public_content_rw_t 的目錄,samba設定後要注意
allow_ssh_keysign - 允許 ssh 使用 ssh-keysign login
allow_staff_exec_content - 允許 staff_r  可以執行檔案內容(selinux各角色權限可參考https://selinuxproject.org/page/RefpolicyBasicRoleCreation)
allow_sysadm_exec_content - 允許 sysadm_r 可以執行檔案內容
allow_unconfined_nsplugin_transition -
allow_user_exec_content - 允許 user_r 可以執行檔案內容
allow_user_mysql_connect - 允許user_r可以連線mysql
allow_user_postgresql_connect - 允許user_r可以連線postgresql
allow_write_xshm - 允許可寫入 x 分享記憶體
allow_xguest_exec_content -  xguest_r 可以執行檔案內容
allow_xserver_execmem -



































(圖5-3-3)

接著列出常用 policy
allow_ypbind - 允許 Name Information System 的 ypbind 常駐執行
allow_zebra_write_config - https://www.gnu.org/software/zebra/,現為quagga
antivirus_ 模組
antivirus_can_scan_system -
antivirus_use_jit -
ftp_home_dir - ftp 伺服器軟體可以使用 /home
ftpd_use_passive_mode - 若躲在防火牆下之ftp 伺服器,請開啟此 policy




































(圖5-3-4)



































(圖5-3-5)



































(圖5-3-6)

若需開放非預設的連接埠,需使用 semanage,可先使用指令 semanage port -l 來先得知已開啟的埠名:


































(圖5-3-7)


































(圖5-3-8)



































(圖5-3-9)



































(圖5-3-10)




































(圖5-3-11)




































(圖5-3-12)



































(圖5-3-13)




其他詳細資訊可參考https://wiki.centos.org/TipsAndTricks/SelinuxBooleans與 https://wiki.centos.org/HowTos/SELinux。


未完,待續
To be continued...

這個網誌中的熱門文章

Linux操作不求人 - 伍章之伍 - make 巨集式編譯器

make是Linux下安裝軟體與程式一個相當重要的工具,如前章節所提的安裝軟體三劍客。 configure, make , make install。當我們完成自己所撰寫的C 或 fortran程式,通常會使用編譯器指令 gcc -cgfortran -c 來編譯成連結檔或物件檔函式庫(Library),如 .a (https://en.wikipedia.org/wiki/Static_library) .o .so等附檔名,而此函式庫又可以讓其他程式利用其中的函式與類別。何時要用到動態或靜態函式庫,stackoverflow有專業的回答(https://stackoverflow.com/questions/140061/when-to-use-dynamic-vs-static-libraries)。

假設我們要寫一個簡單的 C 程式,檔名為 hellomake.c,用 make 來編譯我們的程式,程式如下:
#include<stdio.h>
void main ( void )
{
   print ("This is my first c file."\n);
}

---------------------------------------------------
儲存離開後,利用autoscan 指令,便會產生如圖5-70的兩個檔 autoscan.log 與 configure.scan,而 configure.scan 便是需要產生標準的 GNU makefile 的關鍵檔。我們可以把他改成 configure.in 或 configure.ac,並利用 vim configure 來修改參數,如圖5-71,改為圖5-71右邊的參數











(圖5-70)





(圖5-71)


修改完 configure.in 內的參數後,再執行 aclocal 與 autoconf ,就會產生 autom4te.cache 的資料夾與 configure 的執行檔,此執行檔就是先前章節所要編譯原始碼前,會執行的 ./configure ,並會產生適合您的機器環境之 GNU Makefile,如圖5-72


(圖5-72)
接著編輯 Makefile.am 檔的內容,加入如下內容
AUTOMAKE_OPTION=foreign b…

Linux操作不求人 - 肆章之貳 - 伺服器架設(II) - 郵件伺服器 - postfix 與 dovecot

CentOS6_x64 在預設狀態下,通常已經有開啟發 email 的伺服器軟體 postfix,但僅限制在本機(localhost / 127.0.0.1 ) 使用,且僅是讓系統可以傳送錯誤訊息給 root。故我們要經由設定,讓電腦主機內的使用者帳號,皆可以收發 email,而我們用的送信軟體為 postfix,負責 smtp 的部分( https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol ) ,收信軟體則為 dovecot,負責 pop 或 imap ( https://en.wikipedia.org/wiki/Post_Office_Protocol,https://en.wikipedia.org/wiki/Internet_Message_Access_Protocol )的部分,收發信機制的運作機制,可參考wikipedia,https://en.wikipedia.org/wiki/Email,筆者不再贅述,直接說明架設伺服器軟體的操作。先利用 rpm -qa | grep postfix 與 rpm -qa | grep dovecot 來查詢是否已經有安裝,若無,則利用 yum install postfix 與 yum install dovecot 來安裝。除此之外,再利用 chkconfig | grep postfix 與  chkconfig | grep dovecot 來確認是否有在開機時啟動,若想自動化開機啟動,再請設定 chkconfig --level 235 postfix on 與  chkconfig  --level 235 dovecot on 來載入。 如圖4-10與圖4-11:
































(圖4-10)
















(圖4-11)

     接著我們利用 vim 來修改 postfix 設定檔  /etc/postfix/main.cf 。相同地,我們先閱讀設定檔內容前面的說明,postfix 的作者相當細心,每個設定前的說明很詳細,故設定檔很長,請讀者要有耐心閱讀,如圖4-12-1 至 圖4-12-7。往後篇章若設定檔內容太長,筆者便不再列出,會直接說明新增與修改處,在此先說明。




























































































(圖4-12-1)




























































































(圖4-12-2)





























































































(圖4-12-3)





























































































(圖4-12-4…

Linux 操作不求人系列 - 貳章之壹 - Shell Script 程式設計(I) - BASH

本章開始進入Shell Scripts的程式設計,因為Linux Shell的種類相當多,故筆者僅挑選預設的Bash Shell 及 學術界常會使用的 C Shell (/bin/tcsh )來說明與對照,在此先說明。至於 Scripts 的概念,在前章就已經說明過,可視為前壹章的各項指令之組合,在令其在執行檔案裡,依序執行,如前章所看到的 /etc/profile 檔案,在其他軟體上,有點類似巨集(macro)的執行檔,或是MS Windows的批次檔(Batch)。先建立此概念後,我們可以先在Terminal的命令提示字元,使用 for 指令,如圖2-1,在 shell scripts 內為了重複做一件事,而僅修改某些變數值,我們會利用所謂的迴圈(loop)方式來完成,而 bash shell 內常用的是 for 或是 tcsh/csh shell 內的 foreach



























(圖2-1)


     圖 2-1第一個指令輸入 for 的宣告,後面接著 seq 為變數名稱,為了逐次接收 in 後面之陣列值(http://www.gnu.org/software/bash/manual/html_node/Arrays.html)(註:若加了 ; 則 do 便可寫在同一行),接著 > 的提示字元的等待輸入,便是還沒遇到 done 指令來結束 do 的動作,控制此提示字元的環境變數為 PS2。,此例的 seq 值,依序為第一次讀入 first 字串並存入變數 seq 當其值,接著second、third,從 echo $seq 可以看出,接著設定一個變數 file 其值為 my開頭字串,緊接變數值 $seq(first、second、third),再接固定的 script.sh 字串,接著利用echo指令,印出變數值$file,檢查是不是我們預期的字串值(註:如果想要暫停,讓使用者可以看清楚再繼續,可以加上指令sleep 3,表示畫面停止三秒鐘),接著利用 touch 指令產生 $file 字串值的檔案,再將其利用 chmod 指令,u+x 參數為令僅創立此檔的使用者帳號可執行(若要改為同群組可執行,參數需改為 g+x)。故可看到第二個指令輸入 ls,便列出自動批次產生的shell執行檔了。
     以上其實就是 Shell Script 的程式設計之…