SELinux整理笔记

摘要:SELinux相关资料下载可以在我的资源里面找到.

首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.

http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc

下文所有的政策一律改成策略,policy(策ce e ce,略, l 鱼 了 约 略).

一、前言

安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。

SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。

SELinux 的结构及配置非常复杂，而且有大量概念性的东西，要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。

如果可以熟练掌握 SELinux 并正确运用，我觉得整个系统基本上可以到达"坚不可摧"的地步了（请永远记住没有绝对的安全）。

掌握 SELinux 的基本概念以及简单的配置方法是每个 Linux 系统管理员的必修课。

本文均在 CentOS 7.4.1708 系统中操作。

本文纯属个人学习经验分享交流，出错再所难免，仅供参考！如果发现错误的地方，可以的话麻烦指点下，特别感谢！

二、SELinux 的作用及权限管理机制

2.1 SELinux 的作用

SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

设想一下，如果一个以 root 身份运行的网络服务存在 0day 漏洞，黑客就可以利用这个漏洞，以 root 的身份在您的服务器上为所欲为了。是不是很可怕？

SELinux 就是来解决这个问题的。

2.2 DAC

在没有使用 SELinux 的操作系统中，决定一个资源是否能被访问的因素是：某个资源是否拥有对应用户的权限（读、写、执行）。

只要访问这个资源的进程符合以上的条件就可以被访问。

而最致命问题是，root 用户不受任何管制，系统上任何资源都可以无限制地访问。

这种权限管理机制的主体是用户，也称为自主访问控制（DAC）。

2.3 MAC

在使用了 SELinux 的操作系统中，决定一个资源是否能被访问的因素除了上述因素之外，还需要判断每一类进程是否拥有对某一类资源的访问权限。

这样一来，即使进程是以 root 身份运行的，也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。

即使是以 root 身份运行的服务进程，一般也只能访问到它所需要的资源。即使程序出了漏洞，影响范围也只有在其允许访问的资源范围内。安全性大大增加。

这种权限管理机制的主体是进程，也称为强制访问控制（MAC）。

而 MAC 又细分为了两种方式，一种叫类别安全（MCS）模式，另一种叫多级安全（MLS）模式。

下文中的操作均为 MCS 模式。

2.4 DAC 和 MAC 的对比

这里引用一张图片来说明。

可以看到，在 DAC 模式下，只要相应目录有相应用户的权限，就可以被访问。而在 MAC 模式下，还要受进程允许访问目录范围的限制。

三、SELinux 基本概念

3.1 主体（Subject）

可以完全等同于进程。

注：为了方便理解，如无特别说明，以下均把进程视为主体。

3.2 对象（Object）

被主体访问的资源。可以是文件、目录、端口、设备等。

注：为了方便理解，如无特别说明，以下均把文件或者目录视为对象。

3.3 政策和规则（Policy & Rule）

系统中通常有大量的文件和进程，为了节省时间和开销，通常我们只是选择性地对某些进程进行管制。

而哪些进程需要管制、要怎么管制是由政策决定的。

一套政策里面有多个规则。部分规则可以按照需求启用或禁用（以下把该类型的规则称为布尔型规则）。

规则是模块化、可扩展的。在安装新的应用程序时，应用程序可通过添加新的模块来添加规则。用户也可以手动地增减规则。

在 CentOS 7 系统中，有三套政策，分别是：

1. targeted：对大部分网络服务进程进行管制。这是系统默认使用的政策（下文均使用此政策）。

2. minimum：以 targeted 为基础，仅对选定的网络服务进程进行管制。一般不用。

3. mls：多级安全保护。对所有的进程进行管制。这是最严格的政策，配置难度非常大。一般不用，除非对安全性有极高的要求。

政策可以在 /etc/selinux/config 中设定。

3.4 安全上下文（Security Context）

安全上下文是 SELinux 的核心。

安全上下文我自己把它分为「进程安全上下文」和「文件安全上下文」。

一个「进程安全上下文」一般对应多个「文件安全上下文」。

只有两者的安全上下文对应上了，进程才能访问文件。它们的对应关系由政策中的规则决定。

文件安全上下文由文件创建的位置和创建文件的进程所决定。而且系统有一套默认值，用户也可以对默认值进行设定。

需要注意的是，单纯的移动文件操作并不会改变文件的安全上下文。

安全上下文的结构及含义

安全上下文有四个字段，分别用冒号隔开。形如：system_u:object_r:admin_home_t:s0。

3.5 SELinux 的工作模式

SELinux 有三种工作模式，分别是：

1. enforcing：强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。

2. permissive：宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。

3. disabled：关闭 SELinux。

SELinux 工作模式可以在 /etc/selinux/config 中设定。

如果想从 disabled 切换到 enforcing 或者 permissive 的话，需要重启系统。反过来也一样。

enforcing 和 permissive 模式可以通过 setenforce 1|0 命令快速切换。

需要注意的是，如果系统已经在关闭 SELinux 的状态下运行了一段时间，在打开 SELinux 之后的第一次重启速度可能会比较慢。因为系统必须为磁盘中的文件创建安全上下文（我表示我重启了大约 10 分钟，还以为是死机了……）。

SELinux 日志的记录需要借助 auditd.service 这个服务，请不要禁用它。

3.6 SELinux 工作流程

这里引用一张图片，不必过多解释。

注：上面的安全文本指的就是安全上下文。

四、SELinux 基本操作

4.1 查询文件或目录的安全上下文

命令基本用法

ls -Z

用法举例

查询 /etc/hosts 的安全上下文。

ls -Z /etc/hosts

执行结果

-rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/hosts

4.2 查询进程的安全上下文

命令基本用法

ps auxZ | grep -v grep | grep

用法举例

查询 Nginx 相关进程的安全上下文。

ps auxZ | grep -v grep | grep nginx

执行结果

system_u:system_r:httpd_t:s0 root 7997 0.0 0.0 122784 2156 ? Ss 14:31 0:00 nginx: master process /usr/sbin/nginx

system_u:system_r:httpd_t:s0 nginx 7998 0.0 0.0 125332 7560 ? S 14:31 0:00 nginx: worker process

4.3 手动修改文件或目录的安全上下文

命令基本用法

chcon [...]

选项功能-u 修改安全上下文的用户字段-r 修改安全上下文的角色字段-t 修改安全上下文的类型字段-l 修改安全上下文的级别字段--reference 修改与指定文件或目录相一致的安全上下文-R递归操作-h修改软链接的安全上下文（不加此选项则修改软链接对应文件）

用法举例

修改 test 的安全上下文为 aaa_u:bbb_r:ccc_t:s0。

chcon -u aaa_u -r bbb_r -t ccc_t test

4.4 把文件或目录的安全上下文恢复到默认值

命令基本用法

restorecon [选项] [...]

选项功能-v打印操作过程-R递归操作

用法举例

添加一些网页文件到 Nginx 服务器的目录之后，为这些新文件设置正确的安全上下文。

restorecon -R /usr/share/nginx/html/

4.5 查询系统中的布尔型规则及其状态

命令基本用法

getsebool -a

由于该命令要么查询所有规则，要么只查询一个规则，所以一般都是先查询所有规则然后用 grep 筛选。

用法举例

查询与 httpd 有关的布尔型规则。

getsebool -a | grep httpd

执行结果

httpd_anon_write --> off

httpd_builtin_scripting --> on

httpd_can_check_spam --> off

httpd_can_connect_ftp --> off

#以下省略

4.6 开关一个布尔型规则

命令基本用法

setsebool [选项]

选项功能-P重启依然生效

用法举例

开启 httpd_anon_write 规则。

setsebool -P httpd_anon_write on

4.7 添加目录的默认安全上下文

命令基本用法

semanage fcontext -a -t "(/.*)?"

注：目录或文件的默认安全上下文可以通过 semanage fcontext -l 命令配合 grep过滤查看。

用法举例

为 Nginx 新增一个网站目录 /usr/share/nginx/html2 之后，需要为其设置与原目录相同的默认安全上下文。

semanage fcontext -a -t httpd_sys_content_t "/usr/share/nginx/html2(/.*)?"

4.8 添加某类进程允许访问的端口

命令基本用法

semanage port -a -t -p

注：各种服务类型所允许的端口号可以通过 semanage port -l 命令配合 grep 过滤查看。

用法举例

为 Nginx 需要使用 10080 的端口用于 HTTP 服务。

semanage port -a -t http_port_t -p tcp 10080

五、SELinux 错误分析和解决

5.1 认识 SELinux 日志

当开启了 SELinux 之后，很多服务的一些正常行为都会被视为违规行为（标题及下文中的错误均指违规行为）。

这时候我们就需要借助 SELinux 违规日志来分析解决。

SELinux 违规日志保存在 /var/log/audit/audit.log 中。

/var/log/audit/audit.log 的内容大概是这样的。

type=LOGIN msg=audit(1507898701.391:515): pid=8523 uid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=25 res=1

type=USER_START msg=audit(1507898701.421:516): pid=8523 uid=0 auid=0 ses=25 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'

...

该文件的内容很多，而且混有很多与 SELinux 错误无关的系统审计日志。我们要借助 sealert 这个实用工具来帮忙分析（如果提示找不到命令的话请安装 setroubleshoot 软件包）。

5.2 使用sealert分析错误

命令基本用法

sealert -a /var/log/audit/audit.log

执行完命令之后，系统需要花一段时间去分析日志中的违规行为并给出分析报告。分析报告的结构讲解请看下图：

作者水平有限,先更新这么多.

摘要: 主体:一般指进程,

客体: 客体类别及其许可是SELinux中访问控制的基础，客体类别代表资源的范畴，如文件和套接字，许可代表对这些资源的访问权限，如读或发送.

安全上下文:访问控制属性.

一.基本框架.

1.策略源文件policy.conf结构.

2. LSM:Linux 安全模型框架.

AVC:向量访问缓存.

IPC:进程通信.

MLS:多层安全模式.

MAC:强制访问控制.叫做TE机制.

DAC:自主访问控制.缺点:它们不能识别自然人与计算机程序之间最基本的区别

二.策略规则语法.

1.AV规则:

allow: 允许规则.表示允许主体对客体执行允许操作.

dontaudit 表示不记录违反规则的决策信息，且违反规则不影响运行。

auditallow 表示允许操作并记录访问决策信息。

neverallow 表示不允许主体对客体执行指定的操作。

完整的 AV 规则通用语法如下：

规则名称 类型集(源类型) 类型集(目标类型)：类别集 许可集

规则名称 访问向量规则的名称，有效的规则名称是 allow， auditallow，

auditdeny， dontaudit 和 neverallow。

类型集 一个或多个类型和（或）属性，规则中源和目标类型有其独立

的类型集，多个类型集或属性使用空格进行分隔，并使用大括号将它

们括起来，如{bin_t sbin_t}。可以使用（ -）来排除类型，如{exec_type

–sbin_t}。在目标类型区域可以使用关键字 self，但在源类型区域

不能使用。 neverallow 规则也支持通配符来代表所有的类型，求补算

操作符（ ~）也表示所有的类型，除了明确列出的之外。

类别集 一个或多个客体类别，多个客体类别必须使用大括号括起来，

如{file lnk_file}。

许可集 一个或多个许可，所有许可对类别集列出的所有客体类别都要

有效，多个许可必须用大括号括起来，如{read create}。通配符（ *）

指出所有客体类别的所有许可，求补算操作符（ ~）用于指出所有的

许可，除了明确列出的之外。

所有 AV 规则在单个策略，基础载入模块和非基础载入模块中都有效，所有 AV

规则除了 auditdeny， neverallow 规则外，其它的在条件语句中也有

效.

self只会向自己的源类型发送目标.

2.声明客体类别.class.

class 类别名字.

客体类别使用类别声明语句（ class）进行声明。

使用访问向量语句（也是 class）将许可与客体类别进行关联。

SELinux 中定义了两类许可：通用许可和特定类别许可

3.通用许可.comm

通用许可语句语法

通用许可语句允许你声明一个通用许可名字，许可可以与客体类别一起组成

一个组，通用许可可以与多个客体类别进行联合，完整的通用许可语句语法如下：

common 通用名 {许可集}

通用名 通用许可标识符，该标识符长度不限，可以包括 ASCII 字母，

数字，破折号（ -）和句号（ .）。

许可集 在一个独立空间列表中的一个或多个许可标识符，标识符长度

不限，可以包括 ASCII 字母，数字，破折号（ -）和句号（ .）。

通用许可集与客体类别一起使用访问向量语句。

通用许可集只在单个策略和基础载入模块中有效，在条件语句和非基础载入

模块中无效。on.

4.联合许可和客体类别.

访问向量语句语法

联合许可及之前声明的客体类别的访问向量语句，它的完整语法如下：

class 类别名 [inherits 通用许可集名] [{许可集}]

类别名 ---前面声明的客体类别名

通用许可集名 --- 前面声明的通用许可集名

许可集 --- 在一个独立空间列表中的一个或多个许可标识符，标识符的

长度不受限制，包括 ASCII 字母，数字，或句号（ .）。

最低情况下，至少要指定一个通用许可集名或一个许可集，但这两者是可以

同时提供的，最后所得到的许可是联合了通用许可和许可集的并集。

访问向量语句只在单个策略和基础载入模块中有效，在条件语句和非基础载

入模块中是无效的。

5.类型声明:类型是构成 TE 规则的最小单位， SELinux 主要就

是使用类型来确定什么访问是被允许的；属性和别名是为减轻管理和使用类型的策略特性，

我们使用属性利用单个标识符来引用一组类型.

类型声明语法

可以使用 type 语句声明类型和选项，以及关联的别名属性，下面是完整的

类型声明语法：

type 类型名称 [alias 别名集] [,属性集];

类型名称 类型标识符，长度任意，允许包括 ASCII 字符，数字，下划

线（ _）和点（ .）。

别名集 一个或多个别名标识符，别名标识符与类型标识符的命名限制

是一致的，如果指定的不止一个别名标识符，要在一对大括号中用空

格将各个别名区别开来，如： alias {aliasa_t aliasb_t}。

属性集 一个或多个预先声明的属性标识符，如果同时指定多个属性标

识符，属性之间使用逗号进行分隔，如： type

bin_t,file_type,exec_type;。

类型声明在整个策略中，以及基础载入模块和非基础载入模块中都是有效

的。但在有条件的语句中无效.

6. 属性声明语法.

attribute file_type.

使用 attribute 语句进行属性声明，完整的属性声明语法如下：

attribute 属性名称;

属性名称 属性的标识符，它的长度不受限制，可以包括 ASCII 字符，数字，

下划线（ _）和点（ .）。属性和类型，别名都在同一个命名空间，因

此不能与其他类型或别名重名。

属性声明在整个策略，基础载入模块和非基础载入模块中都有效，但在有条

件的语句中无效.

7.关联类型和属性.

面举的示例语句

type httpd_user_content_t, file_type, httpdcontent;

分成两条语句进行表述

#下面是两条语句

type httpd_user_content_t;

typeattribute httpd_user_content_t file_type,httpdcontent;

typeattribute 语句语法

typeattribute 语句语句允许你关联前面声明的类型和属性，在类型声明时，

如果没有关联属性，就可以使用这个语句进行类型和属性的关联， typeattribute

语句完整的语法如下：

typeattribute 类型名 属性名;

类型名 添加到属性上的类型的名称，类型名必须事先使用 type 语句进行

声明，而且这里只能出现一个类型名。

属性名 一个或多个事先声明的属性标识符，如果指出多个属性标识符，属

性标识符之间使用逗号分隔，如 typeattribute bin_t file_type,

exec_type;

Typeattribute 语句在单个策略，基础载入模块和非基础载入模块中都是有效

的，只有在条件语句中无效。

8.typealias:别名.

typealias 语句允许你定义一个类型别名，在使用 type 语句声明类型时就可

以同时声明别名，完整的 typealias 语句语法如下：

typealias 类型名称 alias 别名名称

类型名称 要添加别名的类型的名称，类型必须使用 type 语句单独声明，

而且这里只能指定一个类型名称.

# 这两条语句等同于

type mozilla_t, domain;

typealias mozilla_t alias netscape_t;

#下面这一条语句

type mozilla_t alias netscape_t, domain;

9.通用类型规则语法.

与 AV 规则一样，每条类型规则有不同的用途和语义，但它们的语法都是通用的，每条

类型规则都具有下列五项元素：

规则名称 type_transition 或 type_change

源类型 创建或拥有进程的类型

目标类型 包含新的或重新标记的客体的客体类型

客体类别 新创建的或重新标记的客体的类别

默认类型 新创建的或重新标记的客体的单个默认类型

通用类型规则语法

完整的通用类型规则语法如下：

规则名称 类型集 类型集:类别集 默认类型;

规则名称 类型规则的名称，有效的规则名称有 type_transition，

type_change 和 type_member。

类型集 一个或多个类型或属性。在规则中源和目标类型有其独

立的类型集，多个类型和属性使用空格进行分隔，并用大括号将

它们括起来，如{bin_t sbin_t}，可以在类型名前放一个（ -）符

合将其排除，如{exec_type –sbin_t}。

类别集 一个或多个客体类别，多个客体类别必须使用大括号括

起来，并用空格分开，如{file lnk_file}。

默认类型 为新创建的或重新标记的客体类别指定的单个默认类型，

这里不能使用属性和多个类型。

所有类型规则在单个策略，基础载入模块，非基础载入模块和条件语句中都有效。

10.

9.(1)与文件相关的客体类别.

(2)与网络有关的客体类别

(3)system V IPC 客体类别

(4)其它杂类客体类别.

6. 与文件有关的客体类型许可.

7.进程客体类别许可.

三.用户和角色.

1.角色声明语句.

role user_r types user_t;

role user_r types passwd_t;

2.角色控制语句.

角色控制语句（ dominance）按照其他角色声明一个角色，我们可以使用这个语句创建

一个角色之间的层次关系，假设这样， "高层角色"可能会自动继承所有与角色关联的类型.

dominance { role super_r {role sysadm_r; role secadm_r; }

3.声明用户以其关联角色.

user joe roles {user_r};