fedora-linux目录结构详解
2012-06-17 19:56
375 查看
Linux目录结构和windows目录结构有很多不同之处,这很容易让初学者搞不明白。这里是个人总结的一些知识点,讲解Linux目录结构包括文件类型和一些重要的文件子目录。
linux文件系统的最顶端是/,称为linux的root,所有的目录、文件、设备都在/之下。
文件类型:
linux有四种基本文件系统类型:普通文件、目录文件、连续文件和特殊文件。可以用file命令来识别。
普通文件:如文本文件、c语言源代码、shell脚本等,可以用cat、less、more、vi等来察看内容,用mv来改名。
目录文件:包括文件名、子目录名及其指针。可以用ls列出目录文件
链接文件:是指向一索引节点的那些目录条目,用ls来查看时,链接文件的标志用l开头,而文件后以"->"指向所链接的文件
特殊文件:如磁盘、终端、打印机等都在文件系统中表示出来,常放在/etc目录内。例如:软驱A称为/dev/fd0,/dev/had来自第一硬盘。
/bin:存放系统所需要的那些命令,二进制可执行文件。比如ls、cp、mkdir等命令;功能
和/usr/bin类似,这个目录中的文件都是可执行的、普通用户可以使用的命令。
/boot:这是Linux的内核及引导系统程序所需要的文件目录,比如initrd.img等文件都
位于这个目录中,grub系统引导管理器也位于这个目录。
/cgroup:最早control
group 是叫做"Containers",利用configfs作配置.
"Containers"着眼于资源的分配,有两个重要概念:
1.subsystem, 内核可以给进程提供的服务/资源
2.container, 一个进程组,成员共享同样的一个或多个子系统分配限制。containers是层次的,一个container可以hold多个container
它的最可取之处是创建了一个资源分配的框架,其它开发者可以利用这个框架去开发自己的资源分配patch,比如上回提到的磁盘设备。
后来不知道为什么没有采用configfs,自己搞了一个container filesystem.
最后在 2.6.24内核(08年1月)中被正式合并进入主线,被改名为control
group 或简写为cgroup.详细介绍在内核源代码文档目录中的cgroups.txt。
刚刚进入 2.6.24的时候,只有cpusets(绑定cpu/memorynode)和
CFSgroup scheduling( cpu带宽分配)两个资源。2.6.25又引入了memoryresource.
/cdrom:光驱
/dev:设备文件存储目录,比如声卡、磁盘。
/etc:系统配置文件的所在,一些服务器的配置文件也在这里;如用户帐号及密码配置件。
/home:普通用户目录默认存放目录。
/lib:库文件存放目录,用户无权限执行这个目录下的命令,这个目录和/usr/sbin;
/usr/local/sbin目录是相似的。凡是目录sbin中包含的都是root权限才能执行的。
/lost+found:在ext2或ext3文件系统中,当系统意外崩溃或机器意外关机,而产生一些文件碎片放在这里。当系统启动的过程中fsck工具会检查这里,并修复已经损坏的文件系统。有时系统发生问题,有很多的文件被移到这个目录中,可能会用手工的方式来修复,或移到文件到原来的位置上。
/media:本目录是空的,是用于挂载的。即插即用型存储设备的挂载点自动在这个目录下创建,比如USB盘系统自动挂载后,会在这个目录下产生一个目录;CDROM/DVD自动挂载后,也会在这个目录中创建一个目录,类似cdrom的目录。这个只有在最新的发行套件上才有,比如FedoraCore
4.0 5.0 等。可以参看/etc/fstab的定义;
/mnt:这个目录一般是用于存放挂载储存设备的挂载目录的,比如有cdrom等目录。可以参看/etc/fstab的定义。有时我们可以把让系统开机自动挂载文件系统,把挂载点放在这里也是可以的。主要看/etc/fstab中怎么定义了;比如光驱可以挂载到/mnt/cdrom。
/opt:表示的是可选择的意思,有些软件包也会被安装在这里,也就是自定义软件包,比如在FedoraCore
5.0中,OpenOffice就是安装在这里。有些我们自己编译的软件包,就可以安装在这个目录中;通过源码包安装的软件,可以通过./configure--prefix=/opt/目录。
/proc:操作系统运行时,进程(正在运行中的程序)信息及内核信息(比如cpu、硬盘分区、内存信息等)存放在这里。/proc目录伪装的文件系统proc的挂载目录,proc并不是真正的文件系统,它的定义可以参见/etc/fstab。
/root:Linux的内核及引导系统程序所需要的文件,比如vmlinuzinitrd.img文件都位于这个目录中。在一般情况下,GRUB或LILO系统引导管理器也位于这个目录;
/sbin:大多是涉及系统管理的命令的存放,是超级权限用户root的可执行命令存放地,普通用户无权限执行这个目录下的命令,这个目录和/usr/sbin;/usr/X11R6/sbin或/usr/local/sbin目录是相似的;我们记住就行了,凡是目录sbin中包含的都是root权限才能执行的。
/selinux:
/srv:一些服务需要访问的文件存放在这
/sys:系统的核心文件
/tmp:临时文件目录,有时用户运行程序的时候,会产生临时文件。这个目录和/var/tmp
目录相似。
/usr:这个是系统存放程序的目录,比如命令、帮助文件等。当我们安装一个linux发行版
官方提供的软件包时,大多安装在这里。如果有涉及服务器配置文件的,会把配置
文件安装在/etc目录中。/usr目录下包括设计字体目录/usr/share/fonts,帮助目录
/usr/share/man或/usr/share/doc,普通用户可执行文件目录/usr/bin或
/usr/local/bin;超级权限用户root可执行命令存放目录,比如/usr/sbin或
/usr/local/sbin等,还有程序的头文件存放目录/usr/include
/var:这个目录的内容是经常变动的,/var下有/var/log这是用来存放系统日志的目
录,/var/lib用来存放一些库文件,比如MySQL的。
一些重要子目录
/etc/init.d:这个目录是用来存放系统或服务器以SystemV模式启动的脚本,这在以SystemV模式启动或初始化的系统中常见。比如Fedora/RedHat;
/etc/xinit.d:如果服务器是通过xinetd模式运行的,它的脚本要放在这个目录下。有些系统没有这个目录,比如Slackware,有些老的版本也没有。在Rehat/Fedora中比较新的版本中存在。
/etc/rc.d:这是Slackware发行版有的一个目录,是BSD方式启动脚本的存放地;比如定义网卡,服务器开启脚本等。
/etc/X11:这是X-Window相关的配置文件存放地。
比如下面的例子:
[root@localhost ~]# /etc/init.d/sshdstart
注:启动sshd服务器
[root@localhost~]# /etc/init.d/sshd stop 注:停止sshd服务器
这就是典型的sshd服务器SystemV模式启动脚本,通过这运行这个脚本可以启动sshd服务器了。
/usr/bin:这个目录是可执行程序的目录,普通用户就有权限执行;当我们从系统自带的软件包安装一个程序时,他的可执行文件大多会放在这个目录。比如安装gaim软件包时。相似的目录是/usr/local/bin;有时/usr/bin中的文件是/usr/local/bin的链接文件;
/usr/sbin:这个目录也是可执行程序的目录,但大多存放涉及系统管理的命令。只有root权限才能执行;相似目录是/sbin或/usr/local/sbin或/usr/X11R6/sbin等;
/usr/local:这个目录一般是用来存放用户自编译安装软件的存放目录;一般是通过源码包安装的软件,如果没有特别指定安装目录的话,一般是安装在这个目录中。
/usr/share:系统共用的东西存放地,比如/usr/share/fonts是字体目录,是用户都共用的吧。
/usr/src:是内核源码存放的目录,比如下面有内核源码目录,比如linux、linux-2.xxx.xx目录等。有的系统也会把源码软件包安装在这里。比如Fedora/Redhat,当我们安装file.src.rpm的时候,这些软件包会安装在/usr/src/redhat相应的目录中。另外Fedhat4.0
5.0,他的内核源码包的目录位于/usr/src/kernels目录下的某个目录中(只有安装后才会生成相应目录);
/var/adm:比如软件包安装信息、日志、管理信息等,在Slackware操作系统中是有这个目录的。在Fedora中好象没有;自己看看吧。
/var/log:系统日志存放,分析日志要看这个目录的东西;
/var/spool:打印机、邮件、代理服务器等假脱机目录;
SELinux简介
SELinux全称是SecurityEnhanced Linux,由美国国家安全部(NationalSecurity
Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高
Linux系统的安全性,提供强健的安全保证,可防御未知攻击,据称相当于B1级的军事安全性能。比MSNT所谓的C2等高得多。
应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高要求的信息很高的安全保障。SELinux vs Linux普通Linux安全和传统Unix系统一样,基于自主存取控制方法,即DAC,只要符合规定的权限,如规定的所有者和文件属性等,就可存取资源。在传统的安全机制下,一些通过setuid/setgid的程序就产生了严重安全隐患,甚至一些错误的配置就可引发巨大的漏洞,被轻易攻击。
而SELinux则基于强制存取控制方法,即MAC,透过强制性的安全策略,应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作,否则都将遭到拒绝或失败,而这些问题将不会影响其他正常运作的程序和应用,并保持它们的安全系统结构。
SELinux的相关配置文件
SELinux的配置相关文件都在/etc/selinux下,其中/etc/selinux/targeted目录里就包含了策略的详细配置和context定义,以下是主要文件及功用:
/etc/selinux/targeted/contexts/*_context默认的context设置
/etc/selinux/targeted/contexts/files/*精确的context类型划分
/etc/selinux/targeted/policy/*策略文件
Apache under SELinux
Apache under SELinux -让Apache跑得顺起来!
对于刚使用RedhatEnterprise Linux 4或FedoraCore 2以上/CentOS4的用户,一定会为Apache经常无法正常运转,报以"Permissiondenied"等错误而大为不解,甚至大为恼火。
其实这是因为这些系统里激活了SELinux,而用户的apache配置与SELinux的配置策略有抵触产生的,只有通过适当调整,使apache的配置和访问符合策略才能正常使用。
现在下面来分析一下SELinux中有关httpd(apache)的context定义(略有删节)
/home/[^/]+/((www)|(web)|(public_html))(/.+)?system_u:object_r:httpd_user_content_t
/var/www(/.*)?system_u:object_r:httpd_sys_content_t
/var/www/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/usr/lib/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/perl(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/icons(/.*)?system_u:object_r:httpd_sys_content_t
/var/cache/httpd(/.*)?system_u:object_r:httpd_cache_t
/etc/vhosts --system_u:object_r:httpd_config_t
/usr/sbin/httpd --system_u:object_r:httpd_exec_t
/usr/sbin/apache(2)? --system_u:object_r:httpd_exec_t
/usr/sbin/suexec --system_u:object_r:httpd_suexec_exec_t
/var/log/httpd(/.*)?system_u:object_r:httpd_log_t
/var/log/apache(2)?(/.*)?system_u:object_r:httpd_log_t
/var/log/cgiwrap\.log.* --system_u:object_r:httpd_log_t
/var/cache/ssl.*\.sem --system_u:object_r:httpd_cache_t
/var/cache/mod_ssl(/.*)?system_u:object_r:httpd_cache_t
/var/run/apache(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/lib/httpd(/.*)?system_u:object_r:httpd_var_lib_t
/var/lib/php/session(/.*)?system_u:object_r:httpd_var_run_t
/etc/apache-ssl(2)?(/.*)?system_u:object_r:httpd_config_t
/usr/lib/apache-ssl(/.*)? --system_u:object_r:httpd_exec_t
/usr/sbin/apache-ssl(2)? --system_u:object_r:httpd_exec_t
/var/log/apache-ssl(2)?(/.*)?system_u:object_r:httpd_log_t
/var/run/apache-ssl(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/run/gcache_port -ssystem_u:object_r:httpd_var_run_t
/var/lib/squirrelmail/prefs(/.*)?system_u:object_r:httpd_squirrelmail_t
/usr/bin/htsslpass --system_u:object_r:httpd_helper_exec_t
/usr/share/htdig(/.*)?system_u:object_r:httpd_sys_content_t
/var/lib/htdig(/.*)?system_u:object_r:httpd_sys_content_t
针对上述的内容,可以对如下的几个常见问题进行简单处理:
1.phpmyadmin在非默认/var/www/html目录下无法运转
通常类似的情况都是在配置了虚拟主机时,访问/phpmyadmin等提示403访问拒绝,日志里也提示Permissiondenied,这是因为phpmyadmin防止的目录及文件本身属性不符合context要求。
假设phpmyadmin放在/web目录下,那么执行:
chcon-R -t httpd_user_content_t/web
则会令/web及其下所有子目录/文件,包括phpmyadmin文件都获得了httpd_user_content_t的属性,如果其传统的Unix属性对httpd来说是可读的话,再重新访问一下就应该可以了。
2./home目录下的虚拟主机无法运转
与问题1也是类似的,不过根据上文中context的定义,/home目录下必须是用户的$HOME/www或public_html或web目录才是httpd_user_content_t类型,因此建议将要作为web页面的内容放置在用户的$HOME/www或web或public_html里,并确保其属性是httpd_user_content_t,使用如下命令查看:
ls-Z /home/abc/
drwxr-xr-x abc abc user_u:object_r:user_home_dir_ttmp
drwxrwxr-x abc abc user_u:object_r:httpd_user_contentwww
如不是,则可通过chcon来逐级目录及文件更改,直至最后能访问:
chcon-R -t httpd_user_content_t /home/abc/web
chcon -t user_home_dir_t/home/abc
3.CGI程序无法运行
如果cgi程序放在/var/www/cgi-bin/里也无法执行,遇到403或500错误的话,可以检查cgi程序的属性,按SELinuxcontexts文件里定义的,/var/www/cgi-bin/里必须是httpd_sys_script_exec_t属性。通过ls-Z查看,如果不是则通过如下命令更改:
chcon-t httpd_sys_script_exec_t/var/www/cgi-bin/*.cgi
如果是虚拟主机里的cgi,则参考问题2使之能正常使用普通的功能后,再通过chcon设置cgi文件的context为httpd_sys_script_exec_t即可。
4.Setuid/gid程序无法运行
例如早期的SqWebMail及qmailadmin等,需要setuid/gid的支持,但在SELinux下这将受到严格限制。第一种方法是比较彻底的办法,能保留系统的安全性,通过:
audit2allow-l -i /var/log/messages
将SELinux拒绝的信息转换为相应的policyallow指令,将这些指令添加到SELinuxpolicy的src里相应的配置文件,重新生成policy并加载。但这样做相对比较麻烦。
另一个方法最简单,但将使apache得不到保护。首先确定SELinux类型是targeted的:
cat/etc/selinux/config|grep SELINUXTYPE
然后,使apache脱离SELinux保护:
setsebool-P httpd_disable_trans 1
然后重启动apache:
/etc/init.d/httpdrestart
这样所有apache强制的检查都失效,需要setuid/gid的程序可以正常使用。但这样带来了增加漏洞的危险,对于迫切需要运行而又很急的情况,本方法是一个最大限度减少系统安全缺失的最后办法。对于取消SELinux未必是一个好方法。
SElinux的几个相关命令
一.
ps -Z
ls -Z
id -Z
例:
[root@ljjcgi-bin]# ls -Z
-rwxrwxrwx root rootroot:object_r:httpd_sys_script_exec_t a.cgi
-rw-r--r-- root rootroot:object_r:httpd_sys_script_exec_t a.txt
二.chcon
修改文件的属性fild1:fild2:fild3
chcon -ufild1 file
chcon -l fild2 file
chcon -t fild3 file
例:
chcon-u root file1
三.getsebool
获取se相关的bool值
例:
[root@ljjcgi-bin]# getsebool -a | grep httpd
httpd_builtin_scripting -->inactive
httpd_disable_trans --> active
httpd_enable_cgi -->active
httpd_enable_homedirs --> active
httpd_ssi_exec -->active
httpd_tty_comm --> inactive
httpd_unified -->inactive
得到了一些与httpd相关的bool值,配置httpd.conf中的user_dir时,要保证这里的httpd_enable_homedirs是active的,还要保证:
chcon -R -t httpd_sys_content_t~user/public_html;
httpd与selinux之间的关系更多详见:manhttpd_selinux
四.togglesebool
给se的相关bool值取反
例:
toggleseboolhttpd_enable_homedirs
linux文件系统的最顶端是/,称为linux的root,所有的目录、文件、设备都在/之下。
文件类型:
linux有四种基本文件系统类型:普通文件、目录文件、连续文件和特殊文件。可以用file命令来识别。
普通文件:如文本文件、c语言源代码、shell脚本等,可以用cat、less、more、vi等来察看内容,用mv来改名。
目录文件:包括文件名、子目录名及其指针。可以用ls列出目录文件
链接文件:是指向一索引节点的那些目录条目,用ls来查看时,链接文件的标志用l开头,而文件后以"->"指向所链接的文件
特殊文件:如磁盘、终端、打印机等都在文件系统中表示出来,常放在/etc目录内。例如:软驱A称为/dev/fd0,/dev/had来自第一硬盘。
/bin:存放系统所需要的那些命令,二进制可执行文件。比如ls、cp、mkdir等命令;功能
和/usr/bin类似,这个目录中的文件都是可执行的、普通用户可以使用的命令。
/boot:这是Linux的内核及引导系统程序所需要的文件目录,比如initrd.img等文件都
位于这个目录中,grub系统引导管理器也位于这个目录。
/cgroup:最早control
group 是叫做"Containers",利用configfs作配置.
"Containers"着眼于资源的分配,有两个重要概念:
1.subsystem, 内核可以给进程提供的服务/资源
2.container, 一个进程组,成员共享同样的一个或多个子系统分配限制。containers是层次的,一个container可以hold多个container
它的最可取之处是创建了一个资源分配的框架,其它开发者可以利用这个框架去开发自己的资源分配patch,比如上回提到的磁盘设备。
后来不知道为什么没有采用configfs,自己搞了一个container filesystem.
最后在 2.6.24内核(08年1月)中被正式合并进入主线,被改名为control
group 或简写为cgroup.详细介绍在内核源代码文档目录中的cgroups.txt。
刚刚进入 2.6.24的时候,只有cpusets(绑定cpu/memorynode)和
CFSgroup scheduling( cpu带宽分配)两个资源。2.6.25又引入了memoryresource.
/cdrom:光驱
/dev:设备文件存储目录,比如声卡、磁盘。
/etc:系统配置文件的所在,一些服务器的配置文件也在这里;如用户帐号及密码配置件。
/home:普通用户目录默认存放目录。
/lib:库文件存放目录,用户无权限执行这个目录下的命令,这个目录和/usr/sbin;
/usr/local/sbin目录是相似的。凡是目录sbin中包含的都是root权限才能执行的。
/lost+found:在ext2或ext3文件系统中,当系统意外崩溃或机器意外关机,而产生一些文件碎片放在这里。当系统启动的过程中fsck工具会检查这里,并修复已经损坏的文件系统。有时系统发生问题,有很多的文件被移到这个目录中,可能会用手工的方式来修复,或移到文件到原来的位置上。
/media:本目录是空的,是用于挂载的。即插即用型存储设备的挂载点自动在这个目录下创建,比如USB盘系统自动挂载后,会在这个目录下产生一个目录;CDROM/DVD自动挂载后,也会在这个目录中创建一个目录,类似cdrom的目录。这个只有在最新的发行套件上才有,比如FedoraCore
4.0 5.0 等。可以参看/etc/fstab的定义;
/mnt:这个目录一般是用于存放挂载储存设备的挂载目录的,比如有cdrom等目录。可以参看/etc/fstab的定义。有时我们可以把让系统开机自动挂载文件系统,把挂载点放在这里也是可以的。主要看/etc/fstab中怎么定义了;比如光驱可以挂载到/mnt/cdrom。
/opt:表示的是可选择的意思,有些软件包也会被安装在这里,也就是自定义软件包,比如在FedoraCore
5.0中,OpenOffice就是安装在这里。有些我们自己编译的软件包,就可以安装在这个目录中;通过源码包安装的软件,可以通过./configure--prefix=/opt/目录。
/proc:操作系统运行时,进程(正在运行中的程序)信息及内核信息(比如cpu、硬盘分区、内存信息等)存放在这里。/proc目录伪装的文件系统proc的挂载目录,proc并不是真正的文件系统,它的定义可以参见/etc/fstab。
/root:Linux的内核及引导系统程序所需要的文件,比如vmlinuzinitrd.img文件都位于这个目录中。在一般情况下,GRUB或LILO系统引导管理器也位于这个目录;
/sbin:大多是涉及系统管理的命令的存放,是超级权限用户root的可执行命令存放地,普通用户无权限执行这个目录下的命令,这个目录和/usr/sbin;/usr/X11R6/sbin或/usr/local/sbin目录是相似的;我们记住就行了,凡是目录sbin中包含的都是root权限才能执行的。
/selinux:
/srv:一些服务需要访问的文件存放在这
/sys:系统的核心文件
/tmp:临时文件目录,有时用户运行程序的时候,会产生临时文件。这个目录和/var/tmp
目录相似。
/usr:这个是系统存放程序的目录,比如命令、帮助文件等。当我们安装一个linux发行版
官方提供的软件包时,大多安装在这里。如果有涉及服务器配置文件的,会把配置
文件安装在/etc目录中。/usr目录下包括设计字体目录/usr/share/fonts,帮助目录
/usr/share/man或/usr/share/doc,普通用户可执行文件目录/usr/bin或
/usr/local/bin;超级权限用户root可执行命令存放目录,比如/usr/sbin或
/usr/local/sbin等,还有程序的头文件存放目录/usr/include
/var:这个目录的内容是经常变动的,/var下有/var/log这是用来存放系统日志的目
录,/var/lib用来存放一些库文件,比如MySQL的。
一些重要子目录
/etc/init.d:这个目录是用来存放系统或服务器以SystemV模式启动的脚本,这在以SystemV模式启动或初始化的系统中常见。比如Fedora/RedHat;
/etc/xinit.d:如果服务器是通过xinetd模式运行的,它的脚本要放在这个目录下。有些系统没有这个目录,比如Slackware,有些老的版本也没有。在Rehat/Fedora中比较新的版本中存在。
/etc/rc.d:这是Slackware发行版有的一个目录,是BSD方式启动脚本的存放地;比如定义网卡,服务器开启脚本等。
/etc/X11:这是X-Window相关的配置文件存放地。
比如下面的例子:
[root@localhost ~]# /etc/init.d/sshdstart
注:启动sshd服务器
[root@localhost~]# /etc/init.d/sshd stop 注:停止sshd服务器
这就是典型的sshd服务器SystemV模式启动脚本,通过这运行这个脚本可以启动sshd服务器了。
/usr/bin:这个目录是可执行程序的目录,普通用户就有权限执行;当我们从系统自带的软件包安装一个程序时,他的可执行文件大多会放在这个目录。比如安装gaim软件包时。相似的目录是/usr/local/bin;有时/usr/bin中的文件是/usr/local/bin的链接文件;
/usr/sbin:这个目录也是可执行程序的目录,但大多存放涉及系统管理的命令。只有root权限才能执行;相似目录是/sbin或/usr/local/sbin或/usr/X11R6/sbin等;
/usr/local:这个目录一般是用来存放用户自编译安装软件的存放目录;一般是通过源码包安装的软件,如果没有特别指定安装目录的话,一般是安装在这个目录中。
/usr/share:系统共用的东西存放地,比如/usr/share/fonts是字体目录,是用户都共用的吧。
/usr/src:是内核源码存放的目录,比如下面有内核源码目录,比如linux、linux-2.xxx.xx目录等。有的系统也会把源码软件包安装在这里。比如Fedora/Redhat,当我们安装file.src.rpm的时候,这些软件包会安装在/usr/src/redhat相应的目录中。另外Fedhat4.0
5.0,他的内核源码包的目录位于/usr/src/kernels目录下的某个目录中(只有安装后才会生成相应目录);
/var/adm:比如软件包安装信息、日志、管理信息等,在Slackware操作系统中是有这个目录的。在Fedora中好象没有;自己看看吧。
/var/log:系统日志存放,分析日志要看这个目录的东西;
/var/spool:打印机、邮件、代理服务器等假脱机目录;
SELinux简介
SELinux全称是SecurityEnhanced Linux,由美国国家安全部(NationalSecurity
Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高
Linux系统的安全性,提供强健的安全保证,可防御未知攻击,据称相当于B1级的军事安全性能。比MSNT所谓的C2等高得多。
应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高要求的信息很高的安全保障。SELinux vs Linux普通Linux安全和传统Unix系统一样,基于自主存取控制方法,即DAC,只要符合规定的权限,如规定的所有者和文件属性等,就可存取资源。在传统的安全机制下,一些通过setuid/setgid的程序就产生了严重安全隐患,甚至一些错误的配置就可引发巨大的漏洞,被轻易攻击。
而SELinux则基于强制存取控制方法,即MAC,透过强制性的安全策略,应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作,否则都将遭到拒绝或失败,而这些问题将不会影响其他正常运作的程序和应用,并保持它们的安全系统结构。
SELinux的相关配置文件
SELinux的配置相关文件都在/etc/selinux下,其中/etc/selinux/targeted目录里就包含了策略的详细配置和context定义,以下是主要文件及功用:
/etc/selinux/targeted/contexts/*_context默认的context设置
/etc/selinux/targeted/contexts/files/*精确的context类型划分
/etc/selinux/targeted/policy/*策略文件
Apache under SELinux
Apache under SELinux -让Apache跑得顺起来!
对于刚使用RedhatEnterprise Linux 4或FedoraCore 2以上/CentOS4的用户,一定会为Apache经常无法正常运转,报以"Permissiondenied"等错误而大为不解,甚至大为恼火。
其实这是因为这些系统里激活了SELinux,而用户的apache配置与SELinux的配置策略有抵触产生的,只有通过适当调整,使apache的配置和访问符合策略才能正常使用。
现在下面来分析一下SELinux中有关httpd(apache)的context定义(略有删节)
/home/[^/]+/((www)|(web)|(public_html))(/.+)?system_u:object_r:httpd_user_content_t
/var/www(/.*)?system_u:object_r:httpd_sys_content_t
/var/www/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/usr/lib/cgi-bin(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/perl(/.*)?system_u:object_r:httpd_sys_script_exec_t
/var/www/icons(/.*)?system_u:object_r:httpd_sys_content_t
/var/cache/httpd(/.*)?system_u:object_r:httpd_cache_t
/etc/vhosts --system_u:object_r:httpd_config_t
/usr/sbin/httpd --system_u:object_r:httpd_exec_t
/usr/sbin/apache(2)? --system_u:object_r:httpd_exec_t
/usr/sbin/suexec --system_u:object_r:httpd_suexec_exec_t
/var/log/httpd(/.*)?system_u:object_r:httpd_log_t
/var/log/apache(2)?(/.*)?system_u:object_r:httpd_log_t
/var/log/cgiwrap\.log.* --system_u:object_r:httpd_log_t
/var/cache/ssl.*\.sem --system_u:object_r:httpd_cache_t
/var/cache/mod_ssl(/.*)?system_u:object_r:httpd_cache_t
/var/run/apache(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/lib/httpd(/.*)?system_u:object_r:httpd_var_lib_t
/var/lib/php/session(/.*)?system_u:object_r:httpd_var_run_t
/etc/apache-ssl(2)?(/.*)?system_u:object_r:httpd_config_t
/usr/lib/apache-ssl(/.*)? --system_u:object_r:httpd_exec_t
/usr/sbin/apache-ssl(2)? --system_u:object_r:httpd_exec_t
/var/log/apache-ssl(2)?(/.*)?system_u:object_r:httpd_log_t
/var/run/apache-ssl(2)?\.pid.* --system_u:object_r:httpd_var_run_t
/var/run/gcache_port -ssystem_u:object_r:httpd_var_run_t
/var/lib/squirrelmail/prefs(/.*)?system_u:object_r:httpd_squirrelmail_t
/usr/bin/htsslpass --system_u:object_r:httpd_helper_exec_t
/usr/share/htdig(/.*)?system_u:object_r:httpd_sys_content_t
/var/lib/htdig(/.*)?system_u:object_r:httpd_sys_content_t
针对上述的内容,可以对如下的几个常见问题进行简单处理:
1.phpmyadmin在非默认/var/www/html目录下无法运转
通常类似的情况都是在配置了虚拟主机时,访问/phpmyadmin等提示403访问拒绝,日志里也提示Permissiondenied,这是因为phpmyadmin防止的目录及文件本身属性不符合context要求。
假设phpmyadmin放在/web目录下,那么执行:
chcon-R -t httpd_user_content_t/web
则会令/web及其下所有子目录/文件,包括phpmyadmin文件都获得了httpd_user_content_t的属性,如果其传统的Unix属性对httpd来说是可读的话,再重新访问一下就应该可以了。
2./home目录下的虚拟主机无法运转
与问题1也是类似的,不过根据上文中context的定义,/home目录下必须是用户的$HOME/www或public_html或web目录才是httpd_user_content_t类型,因此建议将要作为web页面的内容放置在用户的$HOME/www或web或public_html里,并确保其属性是httpd_user_content_t,使用如下命令查看:
ls-Z /home/abc/
drwxr-xr-x abc abc user_u:object_r:user_home_dir_ttmp
drwxrwxr-x abc abc user_u:object_r:httpd_user_contentwww
如不是,则可通过chcon来逐级目录及文件更改,直至最后能访问:
chcon-R -t httpd_user_content_t /home/abc/web
chcon -t user_home_dir_t/home/abc
3.CGI程序无法运行
如果cgi程序放在/var/www/cgi-bin/里也无法执行,遇到403或500错误的话,可以检查cgi程序的属性,按SELinuxcontexts文件里定义的,/var/www/cgi-bin/里必须是httpd_sys_script_exec_t属性。通过ls-Z查看,如果不是则通过如下命令更改:
chcon-t httpd_sys_script_exec_t/var/www/cgi-bin/*.cgi
如果是虚拟主机里的cgi,则参考问题2使之能正常使用普通的功能后,再通过chcon设置cgi文件的context为httpd_sys_script_exec_t即可。
4.Setuid/gid程序无法运行
例如早期的SqWebMail及qmailadmin等,需要setuid/gid的支持,但在SELinux下这将受到严格限制。第一种方法是比较彻底的办法,能保留系统的安全性,通过:
audit2allow-l -i /var/log/messages
将SELinux拒绝的信息转换为相应的policyallow指令,将这些指令添加到SELinuxpolicy的src里相应的配置文件,重新生成policy并加载。但这样做相对比较麻烦。
另一个方法最简单,但将使apache得不到保护。首先确定SELinux类型是targeted的:
cat/etc/selinux/config|grep SELINUXTYPE
然后,使apache脱离SELinux保护:
setsebool-P httpd_disable_trans 1
然后重启动apache:
/etc/init.d/httpdrestart
这样所有apache强制的检查都失效,需要setuid/gid的程序可以正常使用。但这样带来了增加漏洞的危险,对于迫切需要运行而又很急的情况,本方法是一个最大限度减少系统安全缺失的最后办法。对于取消SELinux未必是一个好方法。
SElinux的几个相关命令
一.
ps -Z
ls -Z
id -Z
例:
[root@ljjcgi-bin]# ls -Z
-rwxrwxrwx root rootroot:object_r:httpd_sys_script_exec_t a.cgi
-rw-r--r-- root rootroot:object_r:httpd_sys_script_exec_t a.txt
二.chcon
修改文件的属性fild1:fild2:fild3
chcon -ufild1 file
chcon -l fild2 file
chcon -t fild3 file
例:
chcon-u root file1
三.getsebool
获取se相关的bool值
例:
[root@ljjcgi-bin]# getsebool -a | grep httpd
httpd_builtin_scripting -->inactive
httpd_disable_trans --> active
httpd_enable_cgi -->active
httpd_enable_homedirs --> active
httpd_ssi_exec -->active
httpd_tty_comm --> inactive
httpd_unified -->inactive
得到了一些与httpd相关的bool值,配置httpd.conf中的user_dir时,要保证这里的httpd_enable_homedirs是active的,还要保证:
chcon -R -t httpd_sys_content_t~user/public_html;
httpd与selinux之间的关系更多详见:manhttpd_selinux
四.togglesebool
给se的相关bool值取反
例:
toggleseboolhttpd_enable_homedirs
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Linux操作系统内核源码目录结构详解
- Linux目录结构详解01
- Linux学习总结(34)——Linux系统目录结构详解
- linux 目录结构详解
- Linux系统目录结构详解
- 详解linux目录结构
- 详解Linux目录结构
- 详解linux目录结构及重要子目录
- 【Linux】Linux文件目录结构详解
- Linux文件目录结构详解
- linux系统目录结构详解(简单易懂)
- Linux目录结构详解
- Linux ---指令详解 ,目录结构(史上最全圈 最详细的文章)
- Linux目录结构详解
- Linux 目录详解 树状目录结构图
- Linux下的文件目录结构详解
- linux目录结构及主要内容详解
- Linux文件目录结构详解
- Linux文件目录结构详解
- linux源码目录结构详解