SELinux 的工作原理
SELinux 用于定义对系统上应用、进程和文件的访问控制。它利用安全策略(一组规则,用于告知 SELinux 哪些内容可以访问或哪些内容不可以访问)来强制执行策略所允许的访问。
当应用或进程(称为主体)发出访问某个对象(如文件)的请求时,SELinux 会检查访问向量缓存(AVC),其中缓存了主体和对象的访问权限。
如果 SELinux 无法根据缓存的权限来判断是否允许访问,它会将请求发送给安全服务器。安全服务器随即检查应用或进程和文件的安全环境,确认其是否匹配 SELinux 策略数据库的安全环境。然后,根据检查结果授予或拒绝授予权限。
如果拒绝授予权限,/var/log.messages 中将会显示“avc: denied”消息。
如何配置 SELinux
您可以通过多种方式来配置 SELinux,以保护系统。最常见的是目标策略或多级安全防护(MLS)。
目标策略为默认选项,它涵盖了多种进程、任务和服务。MLS 则极为复杂,通常只有政府机构才会使用。
您可以查看 /etc/sysconfig/selinux 文件,以判断系统所采用的配置方式。该文件中有一部分会显示 SELinux 是处于允许模式、强制执行模式还是禁用状态,以及要加载哪个策略。
SELinux 标签和类型强制访问控制
类型强制访问控制和标签是 SELinux 中最为重要的两个概念。
SELinux 可作为标签系统运行,也就是说,系统中的所有文件、进程和端口都具有与之关联的 SELinux 标签。标签可以按照逻辑将目标组合分类。在启动过程中,内核负责管理标签。
标签的格式为 user:role:type:level(level 为可选项)。User、role 和 level 用于类似 MLS 的更高级的 SELinux 实施中。标签类型对于目标策略而言最为重要。
SELinux 利用类型强制访问控制来强制执行系统中定义的策略。类型强制访问控制是 SELinux 策略的一部分,它定义了特定类型的进程能否访问标记为特定类型的文件。
启用 SELinux
如果您的环境中禁用了 SELinux,可以通过编辑 /etc/selinux/config 并设置 SELINUX=permissive 来启用 SElinux。由于 SELinux 当前尚未启用,因此最好不要将其设为立即强制执行,因为此时系统可能会出现误标记的事件,这会导致系统无法正常启动。
您可以在根目录中创建名为 .autorelabel 的空文件,然后重新启动,以此来强制系统自动重新标记文件系统。如果系统中错误过多,应在允许模式下重新启动,以确保启动成功。重新标记所有内容后,利用 /etc/selinux/config 将 SELinux 设置为强制执行模式并重新启动,或运行 setenforce 1。
如果系统管理员不太熟悉命令行,还可以选择用于管理 SELinux 的图形工具。
SELinux 为 Linux 发行版中内置的系统提供了一层额外的安全保护。SELinux 应始终保持开启状态,这样它就能在系统遭到破坏时保护系统。
红帽资源
自主访问控制(DAC)与强制访问控制(MAC)
传统上,Linux 和 UNIX 系统都采用 DAC。SELinux 就是 Linux 采用 MAC 系统的一个示例。
对于 DAC 而言,文件和进程都有相应的所有者。您可以将文件所有权分配给某个用户、某个群组,或者其他任何用户。用户可以更改自己文件的权限。
根用户对 DAC 系统拥有完全的访问控制权限。如果您拥有根访问权限,则可以访问其他任何用户的文件,或在系统上执行任何操作。
但在像 SELinux 这样的 MAC 系统上,访问权限是根据管理员设置的策略来控制的。即使主目录上的 DAC 设置发生更改,SELinux 策略也会阻止其他用户或进程访问目录,从而保证系统的安全。
借助 SELinux 策略,您可以实现精确的控制,并覆盖大量的进程。您可以使用 SELinux 来限制用户、文件、目录等之间的访问。
如何处理 SELinux 错误
如果在 SELinux 中遇到错误,则表明存在需要解决的问题。问题很可能出自以下四个常见原因之一:
- 标签错误。如果标签不正确,您可以使用工具来修复标签。
- 策略需要修复。这可能意味着您需要将所做的更改告知 SELinux,或者您可能需要调整某个策略。您可以利用布尔值或策略模块对其进行修复。
- 策略中存在错误。这可能是策略中存在需要修正的错误。
- 系统已损坏。尽管 SELinux 在很多情况下可以保护您的系统,但系统仍存在受损的可能。如果您怀疑是这种情况,请立即采取相应措施。
什么是布尔值?
布尔值是 SELinux 中用于控制功能的开关设置。开/关 SELinux 功能的设置有数百种,而且许多设置已预定义。您可以运行 getsebool -a 来找出系统中已设置的布尔值。
红帽助您一臂之力
红帽企业 Linux 是世界领先的开源 Linux 平台,能够帮助您降低风险、实施安全配置和安全策略,并精简合规策略。
红帽企业 Linux 系统角色是一系列受支持的 Ansible® 角色,可以确保一致的工作流,并且精简手动任务的执行。借助系统角色,团队可以实现安全工作流自动化,还能随着时间的推移,以最少的资源实现大规模维护,同时简化治理和合规性要求。通过 SELinux 系统角色,您可以实现 SELinux 部署和管理自动化。这包括:
- 启用 SELinux 并将其设置为强制执行或允许模式以确保控制的一致性。
- 根据自身需求,通过自定义 SELinux 策略来调整布尔值、文件上下文、端口以及登录设置。
- 利用系统角色协调指定文件或目录的文件上下文。
红帽官方博客
获取有关我们的客户、合作伙伴和社区生态系统的最新信息。