SELinux 入門 pt.1

哈嘍大家好，我是鹹魚

文章《SELinux 導致 Keepalived 檢測腳本無法執行》以【keepalived 無法執行檢測腳本】為案例向大家簡單介紹了關於 SELinux 的一些概念

比如說什麼是自主訪問控制 DAC 和 強制訪問控制 MAC；SELinux 安全上下文的概念等等

那麼今天鹹魚將單獨寫一篇文章向大家專門介紹一下 SELinux

初識 SELinux

SELinux（Security Enhanced Linux，安全增強型 Linux），這玩意由美國國家安全局（NSA）利用 Linux 安全模塊（LSM）開發而成

安全增強型 Linux，看名字就感覺是跟安全相關的。 SELinux 是 Linux 內核中的一個模塊，用來解決進程與文件資源之間許可權相關的一些問題

提到進程與文件資源之間的許可權問題，我們腦子裡首先想到的應該就是 rwx 許可權了吧

• 自主訪問控制（Discretionary Access Control, DAC）

在傳統的 UNIX 類系統中，文件資源都與特定的用戶和群組相關聯，並且訪問許可權通過 rwx 來控制

普通用戶想要去讀寫系統中的文件資源受限於其所屬的用戶和群組的 rwx 許可權

對於 root 用戶來說rwx許可權設置是無效的，因為 root 用戶擁有完全訪問控制權

比如說某個進程想要對文件進行讀寫時，系統就會根據該進程的屬主和屬組去比對文件許可權，只有通過許可權檢查才能進一步操作

這種許可權控制方式被稱為自主訪問控制（Discretionary Access Control, DAC）

DAC 是 Linux 操作系統中的一種基本許可權控制機制，用於限制用戶對系統資源的訪問許可權

但是後面大家發現 DAC 有許多不足之處：比如說 root 的許可權太高了，如果某個惡意進程拿到了 root 許可權，那麼將是一件很可怕的事情

又或者不小心把某一個文件的許可權設置成了 777，那麼這個文件就會被任何人任何進程操作

為了彌補 DAC 的一些不足之處，MAC 模型隨之誕生

• 強制訪問控制（MAC，Mandatory Access Control）

MAC 是 Linux 操作系統中一種更加嚴格和細粒度的訪問控制機制，用於加強對系統資源的保護和控制

它有趣的地方在於可以針對特定的進程與特定的文件資源來管理許可權，不僅考慮了前面 DAC 機制中的 rwx 許可權、還考慮了更多因素（例如安全策略和標簽）

即使你是 root 用戶，在使用不同的進程時你所能獲取的許可權也不一定是 root

SELinux 引用了 MAC ，每個進程和系統資源都有一個特殊的安全性標簽，稱為 SELinux 上下文（context）

依據這個安全上下文，SELinux 制定了一系列規則，用來限制進程之間如何互相交互以及如何與各類系統資源交互

SELinux 的規則能夠精細到是否允許特定用戶或進程訪問特定資源

舉個例子：

使用 SELinux時，httpd 進程能夠訪問 /var/www/html/ ，但是不允許訪問 /tmp 和 /var/tmp/ 中的文件

即使你的 web 伺服器被攻擊，黑客控制了 httpd 進程，就算擁有 root 許可權也無法訪問 /tmp 和 /var/tmp/ 中的文件

需要註意的是：

• 對於受 SELinux 管制的進程，會先檢查 SELinux 策略規則，然後再檢查 DAC 規則
• 對於不受 SELinux 管制的進程，仍然會執行 DAC 規則
• 如何看一個進程受不受 SELinux 管制，看它的安全上下文

基礎概念

我們知道，SELinux 通過 MAC 的方式來管理進程或用戶的許可權

即 SELinux 控制的主體是【進程】或【用戶】，而【目標】則是該進程或用戶能否訪問的文件資源

• 主體（subject）：SELinux 主要管理的就是進程，一般代指進程
• 目標（object）：主體能否訪問的目標，一般代指文件資源
• 策略（policy）：SELinux 根據特定的服務或應用程式來制定基本的安全策略，以控制進程對文件資源的讀寫訪問；每一個策略都由許多規則組成

關於 SELinux 策略，以 CentOS 7.x 為例：

1. targeted：針對網路服務限制較多，本機限制較少。預設的策略
2. minimum：由 target 自定義而來，僅針對選擇的進程來保護
3. mls：完整的 SELinux 限制，限制嚴格

/etc/selinux/config

# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.

安全上下文

我們知道，每個主體進程和目標資源都有一個安全標簽，稱為 SELinux 安全上下文（Security Context）

SELinux 會根據主體的安全上下文以及目標的安全上下文來決定是否允許主體訪問目標，以及允許何種類型的訪問

即主體與目標的安全上下文必須一致才能夠順利讀寫，有點像 DAC 中的 rwx 許可權

安全上下文存放在文件的 inode 內，可以通過下麵的命令去查看（需要先開啟 SELinux）

# 查看目錄下文件的安全上下文
[root@minion2 ~]# ll -Z
... unconfined_u:object_r:admin_home_t:s0 文件1
... system_u:object_r:admin_home_t:s0 文件2
... unconfined_u:object_r:admin_home_t:s0 文件3

以 unconfined_u:object_r:admin_home_t 為例，可以看到安全上下文主要用冒號分割了三個欄位，分別代表三個主要類型

User(用戶）

在 SELinux 中，身份是指操作系統中的用戶（User）。每個 user 都有一個唯一的身份標識

不同的 user 可以被分配不同的角色（role）和類型（type），以控制他們對系統資源的訪問

比如 unconfined_u（不受限的用戶）表示該文件來自於不受限（不受 SELinux 限制）的用戶

一般來講預設的 bash 環境是不受 SELinux 管制的，所以 bash 進程產生的文件 user 大多數為 unconfined_u 不受限用戶

比如 system_u ，如果是網路服務所產生或系統服務運行過程中產生的文件，那 user 大部分就是 system_u

role（角色）

角色是 SELinux 中的一個概念，用於定義用戶在系統中的角色或角色組

role 可以幫助限制 user 的行為，使其在不同的角色下有不同的許可權

通過 role ，就可以知道這個數據是屬於進程還是文件資源，_r 表示 role

1. object_r（文件或目錄）

2. system_r（進程）

type（類型）

type 是 SELinux 中非常重要的一個概念，它用於對文件、進程等資源進行分類，每個文件、進程都被賦予一個唯一的 type 標識

type 定義了資源可以被哪些進程和用戶訪問，以及資源可以訪問哪些其他資源

這種基於類型的訪問控制使得即使用戶有相同的許可權，但只有在特定的 type 下才能進行訪問，從而增強了系統的安全性

type 在文件與進程方面的定義有一些區別：

1)type：在文件資源（Object）上面稱為類型（type）

2)domain：在主體進程（Subject）上面稱為域（domain）

type 與 domain 需要相互適配，該進程才能夠順利讀取文件資源

以 crond 為例，先看下 crond 進程的安全上下文內容

# 可以看到 crond 進程的 type（即 domain） 為 crond_t
[root@localhost ~]# ps -eZ | grep crond
system_u:system_r:crond_t:s0-s0:c0.c1023 681 ?  00:00:00 crond
system_u:system_r:crond_t:s0-s0:c0.c1023 688 ?  00:00:00 atd

再來看下 crond 的執行文件、配置文件等安全上下文內容

# 可以看到文件資源的 type 為 crond_exec_t、system_cron_spool_t
[root@localhost ~]# ll -Zd /usr/sbin/crond /etc/crontab /etc/cron.d
drwxr-xr-x. root root system_u:object_r:system_cron_spool_t:s0 /etc/cron.d
-rw-r--r--. root root system_u:object_r:system_cron_spool_t:s0 /etc/crontab
-rwxr-xr-x. root root system_u:object_r:crond_exec_t:s0 /usr/sbin/crond

當我們執行 /usr/sbin/crond 之後，這個進程的 domain 類型是 crond_t，能夠讀取的配置文件則為 system_cron_spool_t 這種類型

如果配置文件的 type 不是 system_cron_spool_t ，就算進程擁有 rwx 許可權也無法讀取

總結

最後總結一下，SELinux 基於 MAC 模型進一步更加嚴格和細分地對進程與資源之間的許可權進行控制，用於加強對系統資源的保護

在 SELinux 中，有三個重要的概念：

• 主體（subject）：SELinux 主要管理的就是進程，一般代指進程
• 目標（object）：主體能否訪問的目標，一般代指文件資源
• 策略（policy）：SELinux 根據特定的服務或應用程式來制定基本的安全策略，以控制進程對文件資源的讀寫訪問；每一個策略都由許多規則組成

SELinux 控制的主體是【進程】或【用戶】，而【目標】則是該進程或用戶能否訪問的文件資源

SELinux 為每個主體進程和目標資源都打上一個安全標簽，稱為 SELinux 安全上下文（Security Context），它會根據主體的安全上下文以及目標的安全上下文來決定是否允許主體訪問目標，以及允許何種類型的訪問

即主體與目標的安全上下文必須一致才能夠順利讀寫，有點像 DAC 中的 rwx 許可權