移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

导致SELinux警告的四个常见启事

时间:2013-05-11 09:33来源:TuZhiJiaMi企业信息安全专家 点击:
本文首要介绍下四个导致 SELinux 警告产生的启事和解决方案。 启事一:呈现标注弊端 SELinux 的核心概念就是标注,不管是文件系统、目次、文件、文件启动描述符、端口、动静接口仍是收集接
Tags系统安全(735)SELinux(4)布尔值(1)描述符(1)  

  本文首要介绍下四个导致 SELinux 警告产生的启事和解决方案。

  启事一:呈现标注弊端

  SELinux 的核心概念就是标注,不管是文件系统、目次、文件、文件启动描述符、端口、动静接口仍是收集接口,所有的一切都需要标签,并且仅且仅能遵循标签所付与的权限履行。即便运行的 Apache 过程被黑客进侵且获得了 uid=0 root 权限,它仍然没法拜候某个用户主目次下的文件。因为标注为httpdt 的 Apache 过程所持有的没法拜候标注为 userhome_t 的内容。

  是以,假定标注有标题问题标话,SELinux 就会弹出警告。若何措置此类,可以参看本站前文中关于semanage fcontext 和 restorecon 号令的利用。当然也能够遵循图形化的 SELinux 除错东西中的提示解决。

  启事二:自定义了法度运行设置

  颠末量年的成长,SELinux 已堆集了大年夜量的策略文件时,对尽大年夜大都利用法度的默许运行要求都有记实,可以付与合适的最小权限予以履行。不外若是您自定义了一些运行建设或有特别的利用需求,则需要调剂部门 SELinux 设置。

  对大年夜大都常见的自定义需求,SELinux 采纳布尔值的编制进行节制,可以参看本站前文中关于 setsebool 号令的利用。若想体味全数可调剂的 SELinux 布尔值,利用 semanage boolean ——l 号令。这可以经由过程图形化的 SELinux 除错东西解决,也能够经由过程图形化的 system-config-selinux 解决。

  启事三:SELinux 策略或利用法度建设有标题问题

  若是您并未出格点窜建设却仍然收到 SELinux 警告,启事可能就在 SELinux 策略或利用法度本身了。此时建议起首在 SELinux 除错东西的帮忙下提交弊端陈述,然后再根据环境进行措置。若是已被陈述过,凡是在弊端陈述的评论中会具体解决方案。

  此时若是想忽视 SELinux 警告仍然运行利用法度,则有以下几种编制:

  将 SELinux 设为承诺模式,仅记实警告但不禁止运行:setenforce 0.

  将某单一标注过程设置为承诺模式,而非全部系统,例如仅想以承诺模式运行 Apache: semange permissive -a httpd_t

  参照 SELinux 除错东西的建议成立并加载自定义策略。具体过程依环境而异,SELinux 除错东西内会有具体的申明。

  启事四:法度已被进侵

  SELinux 并不是进侵检测系统,所以今朝 SELinux 除错东西没法主动的甄别出进侵诡计,不外当您发现警告内容包含有以下特点时,很有可能对应过程已被黑客攻破了:

  测验测验封锁 SELinux (/etc/selinux) 或设定某个 SELinux 布尔值。

  测验测验载进内核模块、写进内核目次或指导器镜像。

  测验测验读取 shadow_t 标识的文件,那边凡是包含了加密的账户信息。

  测验测验笼盖写进日记文件。

  测验测验连接不需要的随机端口或邮件端口。

  至此四种常见警告启事介绍终了,希看您下次碰着 SELinux 警告时可以安然有效的措置。趁便说下,尽大年夜部门 SELinux 除错东西的本地化标题问题已解决,利用简中的童鞋们将可以在 Fedora 18 看到简中的警告内容了。

------分隔线----------------------------

推荐内容