SELinux使用及审计日志解释

杨立峰 2019-11-22

虽然在测试环境我们经常将SELinux关闭,但在生产环境SELinux通常是必须要打开的。但是目前很多同学对SELinux知之甚少,因此本号解释一下关于SELinux的相关内容。

更多关于SELinux及Linux权限管理的内容请参考下面专栏。

SELinux的配置管理与关键文件

如果想开启SELinux特性,只需要将配置文件/etc/selinux/config中的SELINUX的值改为enforcing即可。修改完成后重启计算机SELinux就生效了。

SELinux的管理与模式

可以通过/etc/selinux/config文件中的配置项实现对SELinux的管理,包括启动、停止和修改策略类型等。

SELinux使用及审计日志解释

如图所示,这里有2个配置项,也就是SELINUX和SELINUXTYPE。其中SELINUX表示SELinux的启用状态,可以有3种模式。

  • Enforcing: 此选项会在系统上启用并实施 SELinux 的安全性政策,拒绝存取及记录审计日志
  • Permissive: 在 Permissive 模式下,SELinux 会被启用但不会实施安全性政策,而只会发出警告及记录审计日志
  • Disabled: 该选项表示SELinux 处于非工作状态

SELinux的类型

从上述配置文件还可以看出SELinux有2中类型,分别是targeted和mls。目前SELinux默认使用targeted类型。前文我们介绍过,对于SELinux最主要的是有一个策略数据库,而这里targeted就是一个具体的策略数据库。如果深入到该目录内部(/etc/selinux/targeted/modules/active/),就可以看到这里面有很多策略文件。

为了让大家有个感性的认识,我们将SELinux相关的目录树列在这里。这里面核心的地方有两个,一个是config配置文件,另外一个是目录targeted下面的所有内容。

SELinux使用及审计日志解释

SELinux的审计日志

在开启SELinux的情况下,如果某些组件对资源的访问没有权限,则会出现如下格式的日志。日志文件的路径为/var/log/auditor/auditor.log。

type=AVC msg=audit(1363289005.532:184): avc: denied { read } for pid=29199 comm="Trace" 
name="online" dev="sysfs" ino=30 scontext=staff_u:staff_r:googletalk_plugin_t 
tcontext=system_u:object_r:sysfs_t tclass=file

初次看到该日志时通常是一脸懵逼,不知道该日志想表达什么意思。

SELinux使用及审计日志解释

下面我们分别解释一下该日志中各个条目的含义。这样大家在日后遇到类似问题的时候就可以进行分析,并找到解决问题的方法。能够知其然,并且知其所以然。

type=AVC

日志类型,该日志仅仅在audit.log文件中现实,它告诉用户该审计日志的具体类型。本例中类型为AVC。

msg=audit(1363289005.532:184)

时间戳,起始于1970年1月1日的记秒数。当然,我们可以通过date命令将其转换为墙钟时间。具体放入如下:

date -d @1363292159.532

avc:

日志类型,这里有些重复了。

denied

SELinux采取的动作,可以是denied或者granted。如果系统配置的是permissive模式,那么虽然SELinx会放行,但在审计日志中仍然是denied。

{ read }

请求获得的许可。本例中是一个读请求。有时请求的类型可能不止一个,比如{ read write },但通常只有一个。

for pid=29199

期望获取许可的进程ID信息。

comm="Trace"

进程的名称。有些进程是非常住进程,这时后我们无法获得进程的ID,因此可以通过该参数获得具体是那个进程。

name="online"

目标的名称,本例中是一个文件名称。

dev="sysfs"

目标所位于的设备。本例中我们知道文件所在的位置应该是/sys目录

ino=30

目标文件的inode id。可以根据该id获得文件的具体路径。

scontext=staff_u:staff_r:googletalk_plugin_t

源上下文,进程(访问者)的安全上下文。这里其实就是关于SELinux访问者的标签信息,SELinux正是根据源和目的标签及策略来实现访问控制的。

tcontext=system_u:object_r:sysfs_t

目的上下文,目标资源(被访问者)的安全上下文。

tclass=file

目标的类型,本例是文件。SELinux支持的类型很多,比如文件、套接字或者信号量等等。

本文对SELinux的使用和审计日志做了简要的介绍,更多的内容还请关注如下专栏,里面会介绍的更加细致。

杨立峰

杨立峰

相关推荐

小练习

[ scripts]$echo "%9&Bdh7dq+YVixp3vpw" | tr -dc ‘[[:digit:]]‘。解决DOS***生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到1

xiaohouye / 0评论 2020-08-19

SELinux配置

SELinux是Linux内核的一个模块,也是Linux的一个安全子系统。SELinux的实现了强制访问控制MAC,每个进程和系统资源都有一个特殊的安全标签,资源能否被访问除了DAC规定的原则外,还需要判断每一类进程是否拥有对某一类资源的访问权限。open

chenchuang / 0评论 2020-08-01

第十一周

= Disabled ] && { setenforce 1;echo "Selinux is already started";return 10; }. [ $STATUS = Disabled ] &&am

QiHsMing / 0评论 2020-06-28

第十一周

、编辑selinux.sh如下:#!cat /etc/fstab | awk ‘/^UUID/{print $3}‘ | sort | uniq -c. /bin/bashNUM=1lastb | awk ‘{print $3}‘| grep -E [^[

hnllei / 0评论 2020-06-25

K8S主机环境配置(二)

# 安装补丁包# yum install -y conntrack ipvsadm ipset jq iptables curl sysstat libsecomp wget net-tools git vim# 禁用防火墙# systemctl sto

wys / 0评论 2020-06-18

linux的基本优化

selinux 安全增强型 Linux简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要由美国国家安全局开发。它的主要 作用就是最大限度地减小系统中服务进程可访问的资源。也由于它的这个原则,导致我

kerson / 0评论 2020-06-16

linux(centos8):禁用selinux(临时关闭/永久关闭)

它主要由美国国家安全局开发,有的软件对于selinux的安全规则支持不够好,就会建议在安装前把selinux先关闭,Setting SELinux in permissive mode by runningsetenforce 0andsed ...eff

LonelyTraveler / 0评论 2020-05-29

SELinux服务开启后导致SSH连接异常的解决办法

/usr/sbin/sestatus -v 若显示enabled表示开启状态,disabled表示关闭状态。如何临时关闭SELinux服务?

sixforone / 0评论 2020-05-28

Apache 配置 SELinux 命令的时候的命令 semanage

你可以 运行下面的命令进行安装 yum install policycoreutils-python. 需要注意的是,如果你运行的是 fedora 31 或者比较高的版本的话,上面的安装可能装不上去,提示包没有找到的错误。然后你可以运行 semanage

missingmuch / 0评论 2020-05-25

Fedora 运行 Apache 的时候无法启动,提示日志错误

Fedora 运行 Apache 的时候无法启动,提示日志错误。原因是 selinux 的问题。SELinux 是由美国国家安全局 开发的,当初开发这玩意儿的目的是因为很多企业界发现, 通常系统出现问题的原因大部分都在於『内部员工的资源误用』所导致的,实

jLawrencee / 0评论 2020-05-19

Linux--防火墙和vim

SELinux 是美国国家安全局对于强制访问控制的实现,这个功能管理员又爱又恨,大多数生产环境也是关闭的做法,安全手段使用其他方法。systemctl is-enabled firewalld.service # 检查防火墙是否启动。Vim是从 vi

想个标题偏头痛 / 0评论 2020-05-04

Docker加载/var/lib/mysql出现Permission Denied 原因:Selinux安全权限问题

解决方法:1. 自己用docker run来运行容器时, 加上 --privileged=true 即可。

liaochaowu / 0评论 2020-05-03

Nginx 出现 403 Forbidden 最终解决

Nginx 出现 403 Forbidden 最终解决。权限不足的就加个权限吧。例子:chmod -R 755 / var/www. 把 user 用户名 改为 user root 或 其它有高权限的用户名称即可。如果是centos,看一下selinux是

RisenWang / 0评论 2020-05-02

防火墙和selinux

核心层 处理配置和后端,如iptables、ip6tables、ebtables、ipset和模块加载器。顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具。———————————————————————————

wintelx / 0评论 2020-04-29

centos7——关闭防火墙和SElinux

systemctl status firewalld    #Active: inactive --表示防火墙已经关闭。getenforce        #permissive模式是临时关闭,enforcing模式是临时打开,disabled模式是永久

89284553 / 0评论 2020-04-10

Selinux导致远程ssh连接服务器失败

主要是服务器系统selinux没有被disabled 或者Permissive 禁用掉,导致重启服务器时,sshd服务启动失败。

老谢的自留地 / 0评论 2020-03-25

selinux

westoslinuxfile文件的安全上下文改为public....所以lftp访问服务器时会发现此文件访问成功临时更改后,selinux重启,目录的安全上下文会恢复原本永久更改目录或文件的安全上下文

Summer的小屋 / 0评论 2020-02-29

centos7永久关闭selinux

SELINUX=enforcing#此项定义selinux状态。#enforcing—是强制模式系统受selinux保护。就是你违反了策略,你就无法继续操作下去#permissive—是提示模式系统不会受到selinux保护,只是收到警告信息。permis

wannagonna / 0评论 2020-02-25

selinux

disabled 代表禁用 SELinux 功能,由于 SELinux 是内核模块功能,所以如果设置禁用,需要重启计算机。permissive 代表仅警告模式,处于此状态下时,当主题程序试图访问无权限的资源时,SELinux 会记录日志但不会拦截该访问,也

jackalwb / 0评论 2020-01-29

Linux防火墙

firewalld默认拒绝所有服务、支持动态修改iptables默认允许所有服务、需要全部刷新载入二者维护规则通过netfilter实现功能selinux较为复杂,小菜还没有过应用。firewalld:systemctl start firewallds

jiangtie / 0评论 2020-01-09

利用kubeadmin搭建kubernetes

kubeadmin是集成安装工具

哥哥的CSDN集 / 0评论 2020-01-07

Linux:系统安全相关优化,(firewalld、iptables、selinux)

usage: setenforce [ Enforcing | Permissive | 1 | 0 ]. enforcing - SELinux security policy is enforced. selinux服务处

linuxhh / 0评论 2020-01-03

SELinux

enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了;permissive:宽容模式:代表 SELinux 运作中,不过仅会有警告讯息并不会实际限制 domain/type 的存取。这种模式可以运来作

xuxujing / 0评论 2013-06-28

企鹅日记(十七):SELinux初探

由于启动网络服务的也是程序,因此刚好也是能够控制网络服务能否访问系统资源的一道关卡!传统的文件权限与帐号关系:自主访问控制 DAC。而以策略指定特定程序读取特定文件:强制访问控制,MAC。SELinux针对这个问题导入了强制访问控制的方法。如此一来,针对控

陈小冬的技术 / 0评论 2013-04-04

【原创】大叔经验分享(96)docker启动MySQL报错

# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux p

wensonlee / 0评论 2019-12-29

K8S搭建教程及部署脚本

# This file controls the state of SELinux on the system.# enforcing - SELinux security policy is enforced.# permissive -

zlsh00 / 0评论 2019-12-27

selinux配置文件修改错误导致无法启动虚拟机

# This file controls the state of SELinux on the system.# enforcing - SELinux security policy is enforced.# permissive -

咏月东南 / 0评论 2019-12-09

linux下安装jdk

source /etc/profile 使更改的配置立即生效。java -version 查看JDK版本信息,如果显示出1.7.0证明成功。我虚拟机上装的是REDHAT,输入java -version 后报错:。SELinux 是美国国家安全局对于强制访问

huixinbuding / 0评论 2014-03-19

Redhat关闭SELinux和防火墙

系统环境:Red Hat Enterprise Linux Server release 6.2

eastnow / 0评论 2015-02-02

查看 SELinux状态及关闭SELinux

##setenforce 1 设置SELinux 成为enforcing模式

卢从利 / 0评论 2015-01-23

vmware虚拟机怎样让linux(centos6.4)桥接上网|本机用putty连接centos通信

一、vmware的网卡连接方式选择为桥接不要用Nat方法,如下图所示:连“Replicate physical network connection state”也勾上吧。

kuailexiaochuan / 0评论 2015-08-16

关闭SELinux

如果SELINUX已经加载则需要重启才能彻底关闭则需重启系统。##setenforce 1 设置SELinux 成为enforcing模式

Ongoingcre / 0评论 2015-05-03

SELinux对Apache限制和小插曲

CentOS4.6自带APACHE不能更改默认根目录,虚拟主机指向其他目录不认。是SELinux激活的原因,关闭他:。重起机器,发现SSH链接不上了。以为修改错了,造成系统起不来了。而且控制终端也没用信号。登录后,网络配置也丢失了。到最后,换了一个网卡接口

老谢的自留地 / 0评论 2008-08-13

Linux下试装Apache+PHP+MySQL来支持SNS网络服务

在Linux下装Apache+PHP+MySQL似乎还不是很困难,因为有太多前人的资料,虽然还没有太多关于Fedora 9的,但是也基本上只要用yum install就可以搞定一切了,其它的,只需要自己去上网搜索一下,然后照着做就没问题了。而Ubuntu的

secondid / 0评论 2008-07-11

Linux环境解决Nginx下Zend无法正常加载的问题

启动Linux. cannot restore segment prot after reloc. 解决办法:

clleop / 0评论 2008-06-08

在Linux平台下用subversion

  一直对自己的一些资料、学习笔记保存的比较乱,久了就不知道放到什么地方去了。于是想起平时用的subversion,呵呵,怎么不自己整一个资料的管理服务器。最近用Linux用的比较多,就装在Fedora6上。  根据subversion的要求,好像apac

catchupwith / 0评论 2008-05-03

不重启Linux服务器关闭SeLinux的方法

公司又租了台Linux服务器,本想用Debian,但机房的管理人员不会装,只好用RHEL5代替。因为系统而要用Zend optimizer,我装的是v3.3,安装过程一切顺利,重启apache后发现并没有加载Zend optimizer模块,在apache

Jiajinjin / 0评论 2008-01-18

Linux下samba配置笔记

这两天一直在研究配置samba,由于是菜鸟所以遇到的问题可能比较可笑,在这里写下一些问题的解决办法,今天把samba安装好后rpm -qa | grep samba所需要的文件都有,所以赶紧到/etc/samba/下配置smb.conf文件.在最后的位置加

whx00 / 0评论 2007-09-27

Linux apache启动失败实例解析

[root@jsjzhang www]# /etc/rc.d/init.d/httpd restartStopping httpd: [FAILED]Starting httpd: Syntax error on line 265 of /etc/http

Jiajinjin / 0评论 2007-09-12

ol7初始化

服务器上挂载光盘镜像ISO文件。

LUOPING0 / 0评论 2019-11-05

鸟哥私房菜基础篇:程序管理与 SELinux 初探习题

1-简单说明什么是程序 而什么是程序 ?程序 是系统上面可以被运行的文件,由於 Linux 的完整档名 仅能有一个, 所以 program 的档名具有单一性。当程序被运行后,就会启动成程序 , 一个 program 可以被不同的使用者或者相同的使用者

IsanaYashiro / 0评论 2019-11-05

「译」Linux下SELinux卡通图解,豁然开悟

希望对大家有所帮助。我们正在庆祝SELinux发布十周年。SELinux首先在Fedora Core 3总被引入,而后又被引入到Red Hat Enterprise Linux 4中。本文针对那些还没有使用过SELinux的人或者期望得到解释的人。操作系统

xiaoqiang / 0评论 2019-10-10

「转」安全增强 Linux (SELinux) 剖析

Linux 一直被认为是最安全的操作系统之一,但是通过引入安全增强 Linux,National Security Agency 将 Linux 的安全性提升到了新的高度。SELinux 通过对内核和用户空间进行修改,对现有的 GNU/Linux 操作系

doITwhat / 0评论 2019-10-09

VMware新建虚拟机之后的初始化工作

四、主节点安装ansible,备节点配置

csdnyasin / 0评论 2019-10-31

CentOS 5.3下架设LAMP时遇到SELinux权限问题

学习在CentOS 5.3下架设LAMP时,复制了一套PHP的源码到/var/www/html下,发现index.php无权限访问,而手工新增一个简单的php文件可以正常访问,百思不得其解,可以确定的是文件目录的linux权限设定没问题,httpd配置也无

yczgh / 0评论 2011-08-19

RedHat Linux 5 安装 PHP SELinux保护

原因:是Linux有一个SELinux保护模式引起的。

lixinghui0 / 0评论 2011-06-12

Linux服务器:LAMP环境搭建apache启动报错

修改完成后重启系统,成功启动Aapche。

happygongzhuo / 0评论 2011-04-25

用户界面方式配置RHEL5和Web服务器指南

RHEL同时提供了图形用户界面和命令行两种方式配置SELinux。为了表现SELinux的简单易用,本文使用RHEL的GUI来启用SELinux。要从RHEL的GUI启用SELinux,依次点击系统>管理>安全级别和防火墙 。设置SELinux

犇骉 / 0评论 2011-02-15

Linux服务的seLinux设置

下面是一些 收集来的 Linux服务的seLinux设置 命令===ftp===//If you want to share files anonymouslychcon -R -t public_content_t /var/ftp//If you wa

taianxiaojia / 0评论 2010-12-02