一文完全明白linux中的selinux究竟是什么

1、前言html

安全加强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。linux

SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。nginx

SELinux 的结构及配置很是复杂，并且有大量概念性的东西，要学精难度较大。不少 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。安全

若是能够熟练掌握 SELinux 并正确运用，我以为整个系统基本上能够到达"坚如盘石"的地步了（请永远记住没有绝对的安全）。服务器

掌握 SELinux 的基本概念以及简单的配置方法是每一个 Linux 系统管理员的必修课。网络

本文均在 CentOS 7.4.1708 系统中操做。session

本文纯属我的学习经验分享交流，出错再所不免，仅供参考！若是发现错误的地方，能够的话麻烦指点下，特别感谢！tcp

2、SELinux 的做用及权限管理机制模块化

2.1 SELinux 的做用工具

SELinux 主要做用就是最大限度地减少系统中服务进程可访问的资源（最小权限原则）。

设想一下，若是一个以 root 身份运行的网络服务存在 0day 漏洞，黑客就能够利用这个漏洞，以 root 的身份在您的服务器上随心所欲了。是否是很可怕？

SELinux 就是来解决这个问题的。

2.2 DAC

在没有使用 SELinux 的操做系统中，决定一个资源是否能被访问的因素是：某个资源是否拥有对应用户的权限（读、写、执行）。

只要访问这个资源的进程符合以上的条件就能够被访问。

而最致命问题是，root 用户不受任何管制，系统上任何资源均可以无限制地访问。

这种权限管理机制的主体是用户，也称为自主访问控制（DAC）。

2.3 MAC

在使用了 SELinux 的操做系统中，决定一个资源是否能被访问的因素除了上述因素以外，还须要判断每一类进程是否拥有对某一类资源的访问权限。

这样一来，即便进程是以 root 身份运行的，也须要判断这个进程的类型以及容许访问的资源类型才能决定是否容许访问某个资源。进程的活动空间也能够被压缩到最小。

即便是以 root 身份运行的服务进程，通常也只能访问到它所须要的资源。即便程序出了漏洞，影响范围也只有在其容许访问的资源范围内。安全性大大增长。

这种权限管理机制的主体是进程，也称为强制访问控制（MAC）。

而 MAC 又细分为了两种方式，一种叫类别安全（MCS）模式，另外一种叫多级安全（MLS）模式。

下文中的操做均为 MCS 模式。

2.4 DAC 和 MAC 的对比

这里引用一张图片来讲明。

能够看到，在 DAC 模式下，只要相应目录有相应用户的权限，就能够被访问。而在 MAC 模式下，还要受进程容许访问目录范围的限制。

3、SELinux 基本概念

3.1 主体（Subject）

能够彻底等同于进程。

注：为了方便理解，如无特别说明，如下均把进程视为主体。

3.2 对象（Object）

被主体访问的资源。能够是文件、目录、端口、设备等。

注：为了方便理解，如无特别说明，如下均把文件或者目录视为对象。

3.3 政策和规则（Policy & Rule）

系统中一般有大量的文件和进程，为了节省时间和开销，一般咱们只是选择性地对某些进程进行管制。

而哪些进程须要管制、要怎么管制是由政策决定的。

一套政策里面有多个规则。部分规则能够按照需求启用或禁用（如下把该类型的规则称为布尔型规则）。

规则是模块化、可扩展的。在安装新的应用程序时，应用程序可经过添加新的模块来添加规则。用户也能够手动地增减规则。

在 CentOS 7 系统中，有三套政策，分别是：

1. targeted：对大部分网络服务进程进行管制。这是系统默认使用的政策（下文均使用此政策）。

2. minimum：以 targeted 为基础，仅对选定的网络服务进程进行管制。通常不用。

3. mls：多级安全保护。对全部的进程进行管制。这是最严格的政策，配置难度很是大。通常不用，除非对安全性有极高的要求。

政策能够在 /etc/selinux/config 中设定。

3.4 安全上下文（Security Context）

安全上下文是 SELinux 的核心。

安全上下文我本身把它分为「进程安全上下文」和「文件安全上下文」。

一个「进程安全上下文」通常对应多个「文件安全上下文」。

只有二者的安全上下文对应上了，进程才能访问文件。它们的对应关系由政策中的规则决定。

文件安全上下文由文件建立的位置和建立文件的进程所决定。并且系统有一套默认值，用户也能够对默认值进行设定。

须要注意的是，单纯的移动文件操做并不会改变文件的安全上下文。

安全上下文的结构及含义

安全上下文有四个字段，分别用冒号隔开。形如：system_u:object_r:admin_home_t:s0。

3.5 SELinux 的工做模式

SELinux 有三种工做模式，分别是：

1. enforcing：强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。

2. permissive：宽容模式。违反 SELinux 规则的行为只会记录到日志中。通常为调试用。

3. disabled：关闭 SELinux。

SELinux 工做模式能够在 /etc/selinux/config 中设定。

若是想从 disabled 切换到 enforcing 或者 permissive 的话，须要重启系统。反过来也同样。

enforcing 和 permissive 模式能够经过 setenforce 1|0 命令快速切换。

须要注意的是，若是系统已经在关闭 SELinux 的状态下运行了一段时间，在打开 SELinux 以后的第一次重启速度可能会比较慢。由于系统必须为磁盘中的文件建立安全上下文（我表示我重启了大约 10 分钟，还觉得是死机了……）。

SELinux 日志的记录须要借助 auditd.service 这个服务，请不要禁用它。

3.6 SELinux 工做流程

这里引用一张图片，没必要过多解释。

注：上面的安全文本指的就是安全上下文。

4、SELinux 基本操做

4.1 查询文件或目录的安全上下文

命令基本用法

ls -Z

用法举例

查询 /etc/hosts 的安全上下文。

ls -Z /etc/hosts

执行结果

-rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/hosts

4.2 查询进程的安全上下文

命令基本用法

ps auxZ | grep -v grep | grep

用法举例

查询 Nginx 相关进程的安全上下文。

ps auxZ | grep -v grep | grep nginx

执行结果

system_u:system_r:httpd_t:s0 root 7997 0.0 0.0 122784 2156 ? Ss 14:31 0:00 nginx: master process /usr/sbin/nginx

system_u:system_r:httpd_t:s0 nginx 7998 0.0 0.0 125332 7560 ? S 14:31 0:00 nginx: worker process

4.3 手动修改文件或目录的安全上下文

命令基本用法

chcon [...]

选项功能-u 修改安全上下文的用户字段-r 修改安全上下文的角色字段-t 修改安全上下文的类型字段-l 修改安全上下文的级别字段--reference 修改与指定文件或目录相一致的安全上下文-R递归操做-h修改软连接的安全上下文（不加此选项则修改软连接对应文件）

用法举例

修改 test 的安全上下文为 aaa_u:bbb_r:ccc_t:s0。

chcon -u aaa_u -r bbb_r -t ccc_t test

4.4 把文件或目录的安全上下文恢复到默认值

命令基本用法

restorecon [选项] [...]

选项功能-v打印操做过程-R递归操做

用法举例

添加一些网页文件到 Nginx 服务器的目录以后，为这些新文件设置正确的安全上下文。

restorecon -R /usr/share/nginx/html/

4.5 查询系统中的布尔型规则及其状态

命令基本用法

getsebool -a

因为该命令要么查询全部规则，要么只查询一个规则，因此通常都是先查询全部规则而后用 grep 筛选。

用法举例

查询与 httpd 有关的布尔型规则。

getsebool -a | grep httpd

执行结果

httpd_anon_write --> off

httpd_builtin_scripting --> on

httpd_can_check_spam --> off

httpd_can_connect_ftp --> off

#如下省略

4.6 开关一个布尔型规则

命令基本用法

setsebool [选项]

选项功能-P重启依然生效

用法举例

开启 httpd_anon_write 规则。

setsebool -P httpd_anon_write on

4.7 添加目录的默认安全上下文

命令基本用法

semanage fcontext -a -t "(/.*)?"

注：目录或文件的默认安全上下文能够经过 semanage fcontext -l 命令配合 grep过滤查看。

用法举例

为 Nginx 新增一个网站目录 /usr/share/nginx/html2 以后，须要为其设置与原目录相同的默认安全上下文。

semanage fcontext -a -t httpd_sys_content_t "/usr/share/nginx/html2(/.*)?"

4.8 添加某类进程容许访问的端口

命令基本用法

semanage port -a -t -p

注：各类服务类型所容许的端口号能够经过 semanage port -l 命令配合 grep 过滤查看。

用法举例

为 Nginx 须要使用 10080 的端口用于 HTTP 服务。

semanage port -a -t http_port_t -p tcp 10080

5、SELinux 错误分析和解决

5.1 认识 SELinux 日志

当开启了 SELinux 以后，不少服务的一些正常行为都会被视为违规行为（标题及下文中的错误均指违规行为）。

这时候咱们就须要借助 SELinux 违规日志来分析解决。

SELinux 违规日志保存在 /var/log/audit/audit.log 中。

/var/log/audit/audit.log 的内容大概是这样的。

type=LOGIN msg=audit(1507898701.391:515): pid=8523 uid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=25 res=1

type=USER_START msg=audit(1507898701.421:516): pid=8523 uid=0 auid=0 ses=25 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'

...

该文件的内容不少，并且混有不少与 SELinux 错误无关的系统审计日志。咱们要借助 sealert 这个实用工具来帮忙分析（若是提示找不到命令的话请安装 setroubleshoot 软件包）。

5.2 使用sealert分析错误

命令基本用法

sealert -a /var/log/audit/audit.log

执行完命令以后，系统须要花一段时间去分析日志中的违规行为并给出分析报告。分析报告的结构讲解请看下图：