SELinux 基础

教学目标

• 了解 SELinux 的基本概念和历史背景
• 掌握 SELinux 的工作原理和核心组件
• 学会查看和理解 SELinux 的安全上下文
• 熟悉 SELinux 的运行模式和状态管理
• 了解 SELinux 的策略类型和规则结构
• 学会基本的 SELinux 故障排查方法
• 能够根据实际需求配置和使用 SELinux

主要知识点

1. SELinux 概述

• SELinux 的概念：Security-Enhanced Linux，是一种基于强制访问控制（MAC）的安全增强系统，集成到 Linux 内核中
• SELinux 的历史：由美国国家安全局（NSA）开发，于 2000 年首次发布，2003 年合并到 Linux 2.6 内核
• SELinux 的优势：
  • 提供细粒度的访问控制
  • 防止权限提升攻击
  • 限制进程的行为范围
  • 增强系统的安全性和可靠性
  • 符合安全合规要求
• SELinux 与传统 Linux 安全的区别：
  • 传统 Linux：基于自主访问控制（DAC），依赖于用户和组权限
  • SELinux：基于强制访问控制（MAC），依赖于安全策略和上下文

2. SELinux 核心概念

• 安全上下文（Security Context）：

  • 概念：附加到系统资源（如文件、进程、网络端口等）上的标签，包含安全相关信息
  • 组成：用户（user）、角色（role）、类型（type）、敏感度（sensitivity）
  • 格式：user:role:type[:sensitivity[:category]]
  • 示例：system_u:object_r:httpd_sys_content_t:s0

• 安全策略（Security Policy）：

  • 概念：定义系统中主体（如进程）对客体（如文件）的访问权限的规则集合
  • 类型：
    • 目标策略（Targeted Policy）：默认策略，仅保护关键系统服务
    • 严格策略（Strict Policy）：保护所有系统服务和进程
    • 自定义策略：根据特定需求定制的策略

• 主体（Subject）：

  • 概念：能够发起访问请求的实体，通常是进程
  • 特点：具有安全上下文，通过安全上下文确定其访问权限

• 客体（Object）：

  • 概念：被访问的实体，如文件、目录、网络端口、设备等
  • 特点：具有安全上下文，通过安全上下文确定谁可以访问

• 策略规则（Policy Rule）：

  • 概念：定义主体对客体的访问权限的规则
  • 格式：allow subject_type object_type : class permission_set
  • 示例：allow httpd_t httpd_sys_content_t : file read

3. SELinux 运行模式

• SELinux 运行模式：

  • Enforcing（强制模式）：执行 SELinux 策略，拒绝违反策略的访问并记录日志
  • Permissive（宽容模式）：不执行 SELinux 策略，仅记录违反策略的访问
  • Disabled（禁用模式）：完全禁用 SELinux

• 查看 SELinux 运行模式：

  # 查看 SELinux 状态
  sestatus
  
  # 查看 SELinux 运行模式
  getenforce

• 修改 SELinux 运行模式：

  # 临时修改 SELinux 运行模式
  setenforce 0  # 设置为 Permissive 模式
  setenforce 1  # 设置为 Enforcing 模式
  
  # 永久修改 SELinux 运行模式（需要重启）
  vi /etc/selinux/config
  # 将 SELINUX=enforcing 改为 SELINUX=permissive 或 SELINUX=disabled

4. SELinux 安全上下文

• 查看文件的安全上下文：

  # 查看文件的安全上下文
  ls -Z /path/to/file
  
  # 查看目录的安全上下文
  ls -Zd /path/to/directory

• 查看进程的安全上下文：

  # 查看所有进程的安全上下文
  ps -eZ
  
  # 查看特定进程的安全上下文
  ps -Z -p <pid>

• 查看网络端口的安全上下文：

  # 查看网络端口的安全上下文
  netstat -tulpnZ
  
  # 或使用 ss 命令
  ss -tulpnZ

• 修改文件的安全上下文：

  # 修改文件的安全上下文
  chcon -t <type> /path/to/file
  
  # 递归修改目录及其内容的安全上下文
  chcon -R -t <type> /path/to/directory
  
  # 恢复文件的默认安全上下文
  restorecon -v /path/to/file
  
  # 递归恢复目录及其内容的默认安全上下文
  restorecon -R -v /path/to/directory

5. SELinux 策略管理

• 查看 SELinux 策略类型：

  # 查看 SELinux 策略类型
  sestatus | grep Policy

• 查看 SELinux 策略模块：

  # 查看已安装的 SELinux 策略模块
  semodule -l
  
  # 查看 SELinux 策略模块的详细信息
  semodule -lfull

• 安装和卸载 SELinux 策略模块：

  # 安装 SELinux 策略模块
  semodule -i <module.pp>
  
  # 卸载 SELinux 策略模块
  semodule -r <module>

• 查看 SELinux 布尔值：

  # 查看所有 SELinux 布尔值
  getsebool -a
  
  # 查看特定 SELinux 布尔值
  getsebool <boolean>

• 修改 SELinux 布尔值：

  # 临时修改 SELinux 布尔值
  setsebool <boolean> on
  setsebool <boolean> off
  
  # 永久修改 SELinux 布尔值
  setsebool -P <boolean> on
  setsebool -P <boolean> off

6. SELinux 日志管理

• SELinux 日志位置：

  • 默认日志位置：/var/log/audit/audit.log
  • 系统日志位置：/var/log/messages 或 /var/log/secure

• 查看 SELinux 拒绝日志：

  # 使用 ausearch 查看 SELinux 拒绝日志
  ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR
  
  # 查看最近的 SELinux 拒绝日志
  ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent
  
  # 查看特定时间范围内的 SELinux 拒绝日志
  ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts today

• 使用 sealert 分析 SELinux 拒绝日志：

  # 安装 setroubleshoot
  apt install setroubleshoot
  
  # 使用 sealert 分析 SELinux 拒绝日志
  sealert -a /var/log/audit/audit.log

7. SELinux 故障排查

• 常见 SELinux 问题：

  • 服务无法启动
  • 进程无法访问文件或目录
  • 网络服务无法绑定端口
  • 应用程序功能异常

• SELinux 故障排查步骤：

  1. 检查 SELinux 状态：sestatus
  2. 查看 SELinux 拒绝日志：ausearch -m AVC
  3. 分析拒绝原因：sealert -a /var/log/audit/audit.log
  4. 验证安全上下文：ls -Z 和 ps -Z
  5. 尝试临时设置为 Permissive 模式：setenforce 0
  6. 应用修复建议：根据 sealert 的建议进行修复
  7. 验证修复效果：setenforce 1 并测试功能

• SELinux 故障排查工具：

  • sestatus：查看 SELinux 状态
  • getenforce：查看 SELinux 运行模式
  • setenforce：修改 SELinux 运行模式
  • ls -Z：查看文件安全上下文
  • ps -Z：查看进程安全上下文
  • ausearch：搜索审计日志
  • sealert：分析 SELinux 拒绝事件
  • restorecon：恢复默认安全上下文
  • chcon：修改安全上下文
  • semanage：管理 SELinux 策略

8. SELinux 最佳实践

• 基本原则：

  • 保持 SELinux 处于 Enforcing 模式
  • 使用默认的 Targeted 策略
  • 避免直接禁用 SELinux
  • 定期检查 SELinux 日志
  • 遵循最小权限原则

• 配置建议：

  • 使用 semanage 命令管理 SELinux 配置
  • 使用 setsebool 命令修改 SELinux 布尔值
  • 使用 restorecon 命令恢复默认安全上下文
  • 避免使用 chcon 命令永久修改安全上下文
  • 为自定义服务创建适当的 SELinux 策略

• 安全建议：

  • 及时更新 SELinux 策略
  • 定期审计 SELinux 配置
  • 结合其他安全措施使用 SELinux
  • 培训系统管理员了解 SELinux
  • 制定 SELinux 故障排查流程

实用案例分析

案例 1：查看和理解 SELinux 状态

场景：检查系统的 SELinux 状态和运行模式，了解当前的 SELinux 配置。

分析步骤：

# 1. 查看 SELinux 状态
sestatus

# 2. 查看 SELinux 运行模式
getenforce

# 3. 查看 SELinux 策略类型
sestatus | grep Policy

# 4. 查看 SELinux 配置文件
cat /etc/selinux/config

# 5. 查看系统启动时的 SELinux 状态
dmesg | grep SELinux

# 6. 查看 SELinux 相关的系统服务
systemctl status auditd

查看和理解 SELinux 状态总结：

• SELinux 状态：通过 sestatus 命令可以查看 SELinux 的整体状态，包括运行模式、策略类型等
• 运行模式：通过 getenforce 命令可以快速查看当前的 SELinux 运行模式
• 配置文件：/etc/selinux/config 文件存储了 SELinux 的永久配置
• 系统服务：auditd 服务负责记录 SELinux 相关的审计日志

案例 2：查看和修改安全上下文

场景：查看文件和进程的安全上下文，并修改文件的安全上下文以解决访问问题。

分析步骤：

# 1. 查看文件的安全上下文
ls -Z /var/www/html

# 2. 查看进程的安全上下文
ps -Z -ef | grep httpd

# 3. 查看目录的安全上下文
ls -Zd /var/www

# 4. 修改文件的安全上下文
chcon -t httpd_sys_content_t /var/www/html/index.html

# 5. 递归修改目录及其内容的安全上下文
chcon -R -t httpd_sys_content_t /var/www/html

# 6. 恢复文件的默认安全上下文
restorecon -v /var/www/html/index.html

# 7. 递归恢复目录及其内容的默认安全上下文
restorecon -R -v /var/www/html

# 8. 验证安全上下文修改结果
ls -Z /var/www/html

查看和修改安全上下文总结：

• 查看安全上下文：使用 ls -Z 查看文件安全上下文，使用 ps -Z 查看进程安全上下文
• 修改安全上下文：使用 chcon 命令临时修改安全上下文
• 恢复默认上下文：使用 restorecon 命令恢复文件的默认安全上下文
• 递归操作：使用 -R 选项递归修改或恢复目录及其内容的安全上下文

案例 3：分析和解决 SELinux 拒绝事件

场景：当 SELinux 阻止某个操作时，分析拒绝原因并解决问题。

分析步骤：

# 1. 查看 SELinux 拒绝日志
ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

# 2. 使用 sealert 分析拒绝事件
sealert -a /var/log/audit/audit.log

# 3. 临时设置 SELinux 为 Permissive 模式，测试功能
setenforce 0
# 执行之前被拒绝的操作
# 例如：启动服务或访问文件

# 4. 查看是否有新的拒绝日志
ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

# 5. 根据 sealert 的建议修复问题
# 例如：修改 SELinux 布尔值
setsebool -P httpd_can_network_connect on

# 或恢复默认安全上下文
restorecon -R -v /var/www/html

# 6. 重新设置 SELinux 为 Enforcing 模式
setenforce 1

# 7. 验证问题是否解决
# 执行之前被拒绝的操作
# 例如：启动服务或访问文件

# 8. 查看是否还有新的拒绝日志
ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

分析和解决 SELinux 拒绝事件总结：

• 查看拒绝日志：使用 ausearch 命令查看 SELinux 拒绝日志
• 分析拒绝原因：使用 sealert 命令分析 SELinux 拒绝事件并获取修复建议
• 临时测试：使用 setenforce 0 临时设置为 Permissive 模式，测试功能是否正常
• 应用修复：根据 sealert 的建议修改 SELinux 配置，如修改布尔值或恢复安全上下文
• 验证修复：使用 setenforce 1 重新设置为 Enforcing 模式，验证问题是否解决

案例 4：管理 SELinux 布尔值

场景：修改 SELinux 布尔值以允许特定服务的操作。

分析步骤：

# 1. 查看所有 SELinux 布尔值
getsebool -a

# 2. 查看特定 SELinux 布尔值
getsebool httpd_can_network_connect
getsebool ftp_home_dir
getsebool ssh_chroot_rw_homedirs

# 3. 临时修改 SELinux 布尔值
setsebool httpd_can_network_connect on
setsebool ftp_home_dir on

# 4. 永久修改 SELinux 布尔值
setsebool -P httpd_can_network_connect on
setsebool -P ftp_home_dir on

# 5. 验证布尔值修改结果
getsebool httpd_can_network_connect
getsebool ftp_home_dir

# 6. 测试服务功能
# 例如：测试 HTTP 服务的网络连接
curl http://localhost

# 测试 FTP 服务的_home 目录访问
ftp localhost

管理 SELinux 布尔值总结：

• 查看布尔值：使用 getsebool -a 查看所有 SELinux 布尔值，使用 getsebool <boolean> 查看特定布尔值
• 修改布尔值：使用 setsebool <boolean> on/off 临时修改布尔值
• 永久修改：使用 setsebool -P <boolean> on/off 永久修改布尔值
• 测试功能：修改布尔值后，测试相关服务的功能是否正常

案例 5：恢复默认 SELinux 配置

场景：当 SELinux 配置被修改后，恢复到默认状态。

分析步骤：

# 1. 检查当前 SELinux 状态
sestatus

# 2. 查看当前 SELinux 运行模式
getenforce

# 3. 恢复默认 SELinux 运行模式
setenforce 1

# 4. 恢复默认 SELinux 配置文件
cp /etc/selinux/config /etc/selinux/config.bak
echo 'SELINUX=enforcing' > /etc/selinux/config
echo 'SELINUXTYPE=targeted' >> /etc/selinux/config

# 5. 恢复文件的默认安全上下文
# 恢复特定文件
restorecon -v /path/to/file

# 恢复整个目录
restorecon -R -v /path/to/directory

# 6. 重启系统以应用所有更改
reboot

# 7. 验证 SELinux 状态
# 系统重启后执行
sestatus
getenforce

# 8. 测试系统功能
# 例如：启动常用服务并测试
systemctl start httpd
systemctl start sshd
curl http://localhost

恢复默认 SELinux 配置总结：

• 检查状态：使用 sestatus 和 getenforce 检查当前 SELinux 状态
• 恢复运行模式：使用 setenforce 1 恢复为 Enforcing 模式
• 恢复配置文件：修改 /etc/selinux/config 文件，恢复默认配置
• 恢复安全上下文：使用 restorecon 命令恢复文件的默认安全上下文
• 重启系统：重启系统以应用所有更改
• 验证状态：系统重启后，验证 SELinux 状态是否恢复正常

课后练习

1. SELinux 基础练习：

   • 查看系统的 SELinux 状态和运行模式
   • 查看文件和进程的安全上下文
   • 修改 SELinux 运行模式并观察变化
   • 恢复文件的默认安全上下文

2. SELinux 安全上下文练习：

   • 为测试文件设置不同的安全上下文
   • 观察安全上下文对文件访问的影响
   • 使用 restorecon 恢复默认安全上下文
   • 分析安全上下文的组成和含义

3. SELinux 布尔值练习：

   • 查看系统中的 SELinux 布尔值
   • 修改特定服务的 SELinux 布尔值
   • 测试布尔值修改对服务功能的影响
   • 恢复默认的 SELinux 布尔值设置

4. SELinux 故障排查练习：

   • 模拟 SELinux 拒绝事件
   • 查看和分析 SELinux 拒绝日志
   • 使用 sealert 获取修复建议
   • 应用修复建议并验证解决结果

5. SELinux 策略管理练习：

   • 查看已安装的 SELinux 策略模块
   • 了解默认 Targeted 策略的特点
   • 为自定义服务创建简单的 SELinux 策略
   • 测试自定义策略的效果

总结

本章节详细介绍了 SELinux（Security-Enhanced Linux）的基本概念、原理和使用方法，包括：

• SELinux 的概述和历史背景
• SELinux 的核心概念，如安全上下文、安全策略、主体和客体
• SELinux 的运行模式和状态管理
• SELinux 安全上下文的查看和修改
• SELinux 策略管理和布尔值配置
• SELinux 日志管理和故障排查
• SELinux 的最佳实践和配置建议

通过学习本章节，您应该能够全面了解 SELinux 的工作机制和安全优势，掌握 SELinux 的基本使用方法，能够分析和解决常见的 SELinux 问题。在实际应用中，建议保持 SELinux 处于 Enforcing 模式，结合其他安全措施，构建更加安全可靠的 Linux 系统环境。

SELinux 虽然配置和管理相对复杂，但其提供的细粒度访问控制能力可以有效防止多种安全威胁，特别是权限提升攻击。随着对 SELinux 理解的深入，您将能够更加灵活地配置和使用 SELinux，为系统提供更高级别的安全保护。

扩展阅读

• SELinux 官方文档：SELinux 项目的官方网站，提供详细的文档和资源
• Red Hat Enterprise Linux 安全指南：Red Hat 官方的 SELinux 文档
• SELinux 入门指南：CentOS 社区的 SELinux 入门指南
• SELinux by Example：O'Reilly 出版的 SELinux 实例教程
• Linux 安全加固指南：CIS 安全基准，包含 SELinux 配置建议