红帽全球峰会13.2. 类型
SELinux 目标策略中用于提供高级进程隔离的主要权限控制方法是 Type Enforcement。所有文件和进程都设置了类型标签:type 为进程定义 SELinux 域,以及文件的 SELinux 类型。SELinux 策略规则定义类型如何相互访问,无论是访问某一类型的域还是访问其他域的域。只有在存在允许访问的特定 SELinux 策略规则时才允许访问。
以下示例在
/var/www/html/ 目录中创建了一个新文件,并显示从其父目录继承 httpd_sys_content_t 类型的文件(/var/www/html/):
- 输入以下命令查看
/var/www/html/的 SELinux 上下文:ls -dZ /var/www/html
~]$ ls -dZ /var/www/html drwxr-xr-x root root system_u:object_r:httpd_sys_content_t:s0 /var/www/htmlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 这显示了/var/www/html/标记为httpd_sys_content_t类型。 - 以 root 用户身份使用
touch工具创建新文件:touch /var/www/html/file1
~]# touch /var/www/html/file1Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 输入以下命令查看 SELinux 上下文:
ls -Z /var/www/html/file1
~]$ ls -Z /var/www/html/file1 -rw-r--r-- root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
ls -Z 命令显示标记为
httpd_sys_content_t 类型的 file1。SELinux 允许 httpd 读取使用这个类型标记的文件,但没有写入它们,即使 Linux 权限允许写权限。SELinux 策略定义了在 httpd_t 域(即 httpd 运行)中运行的进程可以读取和写入哪些类型。这有助于防止进程访问由另一个进程使用的文件。
例如,
httpd 可以访问标有 httpd_sys_content_t 类型的文件(用于 Apache HTTP 服务器),但默认情况下,无法访问使用 samba_share_t 类型标记的文件(用于 Samba)。另外,用户主目录中的文件使用 user_home_t 类型进行标记:默认情况下,这会阻止 httpd 读取或写入到用户主目录中的文件。
下表列出了用于
httpd 的一些类型。不同的类型允许您配置灵活的访问:
httpd_sys_content_t- 将此类型用于静态 Web 内容,如静态网站使用的
.html文件。使用此类型标记的文件可由httpd执行的httpd和脚本访问(只读)。默认情况下,使用这个类型标记的文件和目录不会被httpd或其他进程写入或修改。请注意,默认情况下,在 /var/www/html/ 目录中创建或复制到/var/www/html/目录中的文件使用httpd_sys_content_t类型进行标记。 httpd_sys_script_exec_t- 将此类型用于您希望
httpd执行的脚本。这个类型通常用于/var/www/cgi-bin/目录中的通用网关接口(CGI)脚本。默认情况下,SELinux 策略阻止httpd执行 CGI 脚本。要允许此操作,使用httpd_sys_script_exec_t类型标记脚本,并启用httpd_enable_cgi布尔值。由 httpd 执行时,标有httpd_sys_script_exec_t的脚本在 httpd 执行的httpd_sys_script_t域中运行。httpd_sys_script_t域有权访问其他系统域,如postgresql_t和mysqld_t。 httpd_sys_rw_content_t- 使用此类型标记的文件可以通过标记为
httpd_sys_script_exec_t类型的脚本写入,但无法通过标记为任何其他类型的脚本进行修改。您必须使用httpd_sys_rw_content_t类型来标记将通过httpd_sys_script_exec_t类型标记的脚本读取和写入的文件。 httpd_sys_ra_content_t- 使用此类型标记的文件可以通过标有
httpd_sys_script_exec_t类型的脚本附加到,但无法通过标记为任何其他类型的脚本进行修改。您必须使用httpd_sys_ra_content_t类型来标记要从中读取的文件,并通过标有httpd_sys_script_exec_t类型的脚本附加到。 httpd_unconfined_script_exec_t- 带有此类型标记的脚本在未受到 SELinux 保护的情况下运行。耗尽所有其他选项后,仅将此类型用于复杂的脚本。最好使用此类型而不是对
httpd或整个系统禁用 SELinux 保护。
注意
要查看 httpd 的更多可用类型,请输入以下命令:
Copy to Clipboard
Copied!
Toggle word wrap
Toggle overflow
grep httpd /etc/selinux/targeted/contexts/files/file_contexts
~]$ grep httpd /etc/selinux/targeted/contexts/files/file_contexts过程 13.1. 更改 SELinux 上下文
可以使用 chcon 命令更改文件和目录的类型。使用 chcon 所做的更改不会在文件系统重新标记或 restorecon 命令后保留。SELinux 策略控制用户是否能够修改任何给定文件的 SELinux 上下文。以下示例演示了创建一个新目录和一个
index.html 文件供 httpd 使用,并标记该文件及目录以允许 httpd 访问它们:
- 以 root 用户身份使用
mkdir工具创建顶层目录结构,以存储httpd使用的文件:mkdir -p /my/website
~]# mkdir -p /my/websiteCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 与 file-context 配置中不匹配模式的文件和目录可以使用
default_t类型进行标记。受限制的服务无法访问此类型:ls -dZ /my
~]$ ls -dZ /my drwxr-xr-x root root unconfined_u:object_r:default_t:s0 /myCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 以 root 用户输入以下命令,将
my/目录和子目录的类型更改为httpd可访问的类型。现在,在/my/website/下创建的文件继承httpd_sys_content类型,因此 httpd 可以访问它:_tchcon -R -t httpd_sys_content_t /my/ touch /my/website/index.html ls -Z /my/website/index.html
~]# chcon -R -t httpd_sys_content_t /my/ ~]# touch /my/website/index.html ~]# ls -Z /my/website/index.html -rw-r--r-- root root unconfined_u:object_r:httpd_sys_content_t:s0 /my/website/index.htmlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
有关 chcon 的详情,请查看 第 4.7.1 节 “临时更改:chcon”。
使用 semanage fcontext 命令(semanage 由 policycoreutils-python 软件包提供),以在重新标记和 restorecon 命令后保留标签更改。此命令会添加对 file-context 配置的更改。然后,运行 restorecon,它读取 file-context 配置,以应用标签更改。以下示例演示了创建一个新目录和用于
httpd 的 index.html 文件,并永久更改该目录和文件的标签,以允许 httpd 访问它们:
- 以 root 用户身份使用
mkdir工具创建顶层目录结构,以存储httpd使用的文件:mkdir -p /my/website
~]# mkdir -p /my/websiteCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 以 root 用户身份输入以下命令,将标签更改添加到 file-context 配置中:
semanage fcontext -a -t httpd_sys_content_t "/my(/.*)?"
~]# semanage fcontext -a -t httpd_sys_content_t "/my(/.*)?"Copy to Clipboard Copied! Toggle word wrap Toggle overflow "/my (/oriented)?"表达式表示标签更改适用于my/目录以及其下的所有文件和目录。 - 以 root 用户身份使用
touch工具创建新文件:touch /my/website/index.html
~]# touch /my/website/index.htmlCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 以 root 身份输入以下命令,以应用标签更改(restorecon 读取 file-context 配置,它由第 2 步中的 semanage 命令修改):
restorecon -R -v /my/
~]# restorecon -R -v /my/ restorecon reset /my context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0 restorecon reset /my/website context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0 restorecon reset /my/website/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
有关 semanage 的详情请参考 第 4.7.2 节 “持久性更改:semanage fcontext”。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}