跳到主要內容

Linux操作不求人 - 伍章之參 - SELinux 管理操作工具

     SELinux (Secure-Enhance Linux,https://en.wikipedia.org/wiki/Security-Enhanced_Linux),為 Linux 核心內的強制存取控制(MSA)的實現,已最小權限原則為基礎的安全模組,CentOS4版本便已經預設內建。SELinux主要為美國國安局(NSA)所開發,詳細資訊可參考https://www.nsa.gov/what-we-do/research/selinux/,就不再各位高手高手高高手面前贅述。我們主要直接進入SELinux的操作設定,而非不想面對的如其他說法:先 關 閉 它,如此反而造成系統的安全性疏漏。
首先,我們必須先利用 yum 下載 SELinux的 管理工具 policycoreutils,與錯誤紀錄工具 setromubleshooting,如圖5-3-1,使用 yum install policycoreutils-*


















(圖5-3-1)

     因SELinux管理工具為 Python 所撰寫,在使用之前,先檢視是否有更改系統預設 Python版本有改變 ( 如CentOS6預設為Python2.6,有些操作者可能自行換了 Python2.7,故要修改python  路徑),若改變Python 預設環境,會造成管理工具的執行錯誤,故需逐一變更管理工具所引用的 Python環境,或修改 /bin/python 或 /usr/bin/python 之版本。在 CentOS6下,SELinux 的設定檔置於 /etc/selinux/config。我們先用指令 getsebool,來獲得 SELinux 現有的預設設定。亦可以用 semanage boolean -l ,來看到每個boolean的說明,如圖5-3-2 至 圖5-3-6。semodule -l 可查看各政策模組的版本。以下條件都是由不同模組來提供他們是否開啟的boolean參數,若要更改永久設定,可使用指令 setsebool -P,如更改可開放個人home資料夾下作為httpd網站,則除設定網站 httpd 伺服器的 config外,還要注意設定selinux policy 為
 setsebool -P  httpd_home_dirs on

setsebool -P httpd_home_dirs=1 httpd_home_dirs=1  ftp_home_dir=1  #同時設定多筆參數。

圖5-3-2可以看到現在設定狀況與預設值為何,後面亦有設定值可以控制的範圍說明。






















(圖5-3-2)




































(圖5-3-3)

以下我們逐條說明 圖5-3-3 可以控制的模組:
prefix abrt_ 系列,abrt 為自動錯誤報告工具,可協助開發者提供匿名錯誤回報。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/ch-abrt
abrt_annon_write - 讓 abrt 以匿名寫入
abrt_handle_event - 讓 abrt 處理報告事件
prefix allow_ 模組:
allow_console_login - 允許利用console終端機登入文字界面
allow_cvs_read_shadow - 允許 版本控制軟體 cvs 可以讀取shadow 備份檔
prefix allow_daemons_ 模組 :
allow_daemon_dump_core - 允許 核心包裹服務啟用,可用來追蹤核心錯誤
allow_daemon_use_tcp_wrapper - 允許 tcp warpper的服務,如前面篇章提到的/etc/hosts.allow 與 /etc/hosts.deny 的設定
allow_daemon_use_tty - 允許 可登入多終端機 tty  之服務。
allow_daemons_fd_use - fd (file descripter, 如 stdin stdout stderr)
allow_execheap - 允許未受限制的執行檔,執行自己的heap記憶體。(https://www.gribblelab.org/CBootCamp/7_Memory_Stack_vs_Heap.html)
allow_execmem - 允許未受限制執行檔將自己的heap設定為可執行與寫入。
allow_execmod -允許為標示 textrel_shlib_t 的未受限制執行檔使用內容重定位的程式庫。
allow_execstack - 允許未受限制執行檔將自己的stack記憶體設為可執行。
prefix allow_ftpd_:
allow_ftpd_anon_write - ftpd 可以上傳到 public_content_rw_t policy 的目錄(用 ls -lZ 可看policy)
allow_ftpd_full_access - 允許 ftp可全權存取系統檔案
allow_ftpd_use_cifs - 允許ftp可存取 cifs(samba) 網路磁碟格式
allow_ftpd_use_nfs - 允許ftp可存取 nfs 網路磁碟格式
allow_gssd_read_tmp - 允許general security service daemon 讀取 tmp 資料夾
allow_guest_exec_content - 允許guest 權限可執行內容(https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-working_with_selinux-mounting_file_systems)
allow_httpd_anon_write - 允許 httpd 可上傳到 public_content_rw_t,有時網路程式不能上傳要考慮此原因。
allow_httpd_mod_auth_ntlm_winbind - 允許httpd使用 mod_auth_ntlm_winbind 模組(windows ntlm 認證)
allow_httpd_mod_auth_pam - 允許 httpd 使用mod_auth_pam的模組
allow_httpd_sys_script_anon_write - 允許 httpd 可以使用 scripts 寫入 public_content_rw_t 的目錄
allow_java_execstack - 防止 java 記憶體 stack型態攻擊(off)
allow_kerberos - kerberos (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/managing_smart_cards/using_kerberos)
allow_mount_anyfile - 允許掛載任何檔案
allow_maplyer_execstack - 允許mplayer將自己執行檔內的記憶體stack設為可執行
allow_nsplugin_execmem -
allow_polyinstantiation - 啟用 polyinstatiation 支援(https://www.ibm.com/developerworks/library/l-polyinstantiation/index.html)
allow_postfix_local_write_mail_spool - 允許postfix可寫入mail spool,才可正常收發信
allow_ptrace - 允許 sysadm_t policy 針對應用程式使用 ptrace
allow_rsync_anon_write - 允許rsync可以寫入 public_content_rw_t 的目錄
allow_saslauthd_read_shadow - 允許 saslauthd 可以讀取 /etc/shadow 帳密檔
allow_smbd_anon_write - 允許 samba 將檔案寫入 public_content_rw_t 的目錄,samba設定後要注意
allow_ssh_keysign - 允許 ssh 使用 ssh-keysign login
allow_staff_exec_content - 允許 staff_r  可以執行檔案內容(selinux各角色權限可參考https://selinuxproject.org/page/RefpolicyBasicRoleCreation)
allow_sysadm_exec_content - 允許 sysadm_r 可以執行檔案內容
allow_unconfined_nsplugin_transition -
allow_user_exec_content - 允許 user_r 可以執行檔案內容
allow_user_mysql_connect - 允許user_r可以連線mysql
allow_user_postgresql_connect - 允許user_r可以連線postgresql
allow_write_xshm - 允許可寫入 x 分享記憶體
allow_xguest_exec_content -  xguest_r 可以執行檔案內容
allow_xserver_execmem -



































(圖5-3-3)

接著列出常用 policy
allow_ypbind - 允許 Name Information System 的 ypbind 常駐執行
allow_zebra_write_config - https://www.gnu.org/software/zebra/,現為quagga
antivirus_ 模組
antivirus_can_scan_system -
antivirus_use_jit -
ftp_home_dir - ftp 伺服器軟體可以使用 /home
ftpd_use_passive_mode - 若躲在防火牆下之ftp 伺服器,請開啟此 policy




































(圖5-3-4)



































(圖5-3-5)



































(圖5-3-6)

若需開放非預設的連接埠,需使用 semanage,可先使用指令 semanage port -l 來先得知已開啟的埠名:


































(圖5-3-7)


































(圖5-3-8)



































(圖5-3-9)



































(圖5-3-10)




































(圖5-3-11)




































(圖5-3-12)



































(圖5-3-13)




其他詳細資訊可參考https://wiki.centos.org/TipsAndTricks/SelinuxBooleans與 https://wiki.centos.org/HowTos/SELinux。


未完,待續
To be continued...

這個網誌中的熱門文章

Linux 操作不求人系列 - 貳章之貳 - Shell Script 程式設計(II) - BASH 與 TCSH / CSH

     在上章,我們介紹很多bash shell指令的應用方式,並讓它們變成 script,在這章此節,我們要承襲上節,繼續討論 bash shell script 的其它程式設計概念,與讓程式可重複使用的方法,就是利用函式(function)。      首先,我們來創作一個判斷是否為閏年的函數,script的名稱就取為 check_year.sh ,請自行將其設為可執行。程式碼如圖2-6,為了解說方便,筆者利用指令 nl check_year.sh 將程式碼包含行數印出(圖2-7),其他除顏色外,都與圖2-6同。以下 export 宣告環境變數,自訂變數無需加宣告保留字。(2021.10.07更正export說明,以下自訂變數宣告請直接去除export開頭) (圖2-6) (圖2-7)        圖2-7第2-6行,與之前的範例相似,皆有防堵參數個數輸入錯誤的判斷。第7-11行為接著判斷輸入的年分,是否為真的正整數,也就是大於零的數字。其中第7行可解釋為,利用正規表示式搜尋 $2 字串值得頭至尾部的字元,皆由 0-9 組成,若有,則為真(True)會進入 if 內的陳述執行, 但我們想要的,應該是僅要字串其中一字元為非正整數,便進入if 內的警告並跳出 。故,筆者在判斷式前多加一個 ! ,代表著當字元完全是正整數時,就不要執行  if  內陳述,而直接往第12行執行,但若其中有一個字元為非正整數,則會進入 if 內印出錯誤訊息並跳出 Script 。在此例使用者輸入非正整數等字串(如:12ab、cde、1a1b),便會出現錯誤訊息"Error Value",並跳出 Script 。而第8行的判斷式,效果跟第7行相同,但只能在BASH 3.0才能支援,故筆者故意保留,讓讀者可以學到另一種表示方式。         第12-28行,為宣告一個函式 leapyr () ,在 BASH Script內若要使用含式,必須在使用之前先建立函式的功能,如函式建立在第12-28行,則若要呼叫使用(Call)函式,則必須在第29行之後才能呼叫,並且可重複呼叫。第13行為定義函式呼叫時,一定會有一個外部參數, 此外部參數非該 Script 的外部參數 ,而是由程式撰寫者給入,故在此無設定防呆判斷。第14-

Linux操作不求人 - 伍章之陸 - Intel PXE 與利用 tftp + anaconda kickstart來自動部署系統

     現代的個人電腦與筆電爲了節能省碳,往往皆省略了光碟機的設置。雖然說 USB隨身碟亦可應用於安裝作業系統,但若遇到機房的大量機器需安裝之問題,亦不適合此種用光碟片或隨身碟逐臺安裝的方式,或是需準備多片光碟或隨身碟。故爲了大量安裝與部屬 Linux作業系統的機器,我們便可透過具有PXE功能之網路卡(https://en.wikipedia.org/wiki/Preboot_Execution_Environment),其所具備的網路開機的能力,來作透過網路方式來安裝與大量部署 CentOS Linux作業系統。其原理 wikipedia  的PXE說明,都解釋得很清楚,筆者不需要再 " 掉書包 ",在開發者大神面前班門弄斧,我們就直接來做做看。      首先,我們一樣透過 yum來安裝所需的 tftp伺服器軟體(http://www.jounin.net/tftpd32.html),利用PXE支援 tftp 透過 udp 埠號 69連線,來提供檔案的能力,給利用 PXE開機後安裝作業系統的機器,圖5-60   (圖5-60) 接著修改 tftp 設定檔 /etc/xinetd.d/tftp,如圖5-61,請記得 disable  要改為 no (圖5-61)      若要修改 server_args 參數為自訂的 tftp root 路徑,記得要變更 SELinux 的權限設定,如要改為/tftpboot,則使用指令 chcon  來調整,如以下: $ mkdir /tftpboot $ chcon  --reference /var/lib/tftpboot  /tftpboot 接著將 xinetd 與 tftp 加入開機啟動,並重啟動 xinetd,如下: $ chkconfig  --level  235  xinetd on $ chkconfig  --level  235  tftp  on $ service xinetd restart 開放防火牆通行 $ iptables -A INPUT -p udp --dport 69 -j ACCEPT $ service iptables re

Linux操作不求人- 肆章之壹 - 伺服器架設(I) - SSH(SFTP、SCP)、FTP伺服器與遠端連線

@ ssh, sftp      通常安裝好 CentOS6_x64 作業系統後,sshd, ssh daemon 的服務功能是預設開啟的,如筆者的前面篇章所述,預設的 iptables 防火牆設定,亦是開啟讓 ssh 的連線是可通過的,不僅可以連出,也可以被連入。若要確認是否有安裝 sshd 套件以及在啟動時的 runlevel 2 3 5 是否有被載入,可以使用以下指令搜尋: $   rpm  -qa  |   grep  openssh     #  ssh 與 sshd 連線服務皆由 openssh 應用軟體提供。 或使用以下 $   rpm  -qa  |   grep  ssh         #  比用關鍵字 openssh 搜尋更模糊,故符合的條件更多。      如圖4-1可以查詢到有關於 openssh-client 與 openssh-server 的套件, openssh-server 便是提供連入服務的軟體,openssh-client 為提供可以連出的工具。若無以上套件,則使用 yum install openssh ,則可下載安裝。 (圖4-1) 再接著輸入以下指令查詢到 sshd 這個服務,是否有再開機程序內載入,如圖4-2 $ chkconfig | grep ssh   # 查詢 sshd 是否有於 開機 runlevel 啟動 再利用以下指令,來查詢是否防火牆有允許連線 $ iptables  -L  |  grep ssh   # 出現如圖4-2 允許通過之條件 (圖4-2)      接下來,我們要先來調整 sshd 的設定檔,利用 vim  /etc/sshd/sshd_conf ,如圖4-3-1與4-3-2。因為設定檔參數很多,筆者為方便說明,將 /etc/sshd/sshd_conf 檔案內容分成兩張圖。 (圖4-3-1)