SELinux 介绍

一、SELinux简介

SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。

SELinux是一个内核级别的安全机制，从Linux2.6内核之后就将SELinux集成在了内核当中，因为SELinux是内核级别的，所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。

现在主流发现的Linux版本里面都集成了SELinux机制，CentOS/RHEL都会默认开启SELinux机制。

二、SELinux基本概念

我们知道，操作系统的安全机制其实就是对两样东西做出限制：进程和系统资源(文件、网络套接字、系统调用等)。

在之前学过的知识当中，Linux操作系统是通过用户和组的概念来对我们的系统资源进行限制，我们知道每个进程都需要一个用户才能执行。

在SELinux当中针对这两样东西定义了两个基本概念：域(domin)和上下文(context)。

域就是用来对进行进行限制，而上下文就是对系统资源进行限制。

我们可以通过 ps -Z 这命令来查看当前进程的域的信息，也就是进程的SELinux信息：

[root@xiaoluo ~]# ps -ZLABEL                             PID TTY          TIME CMDunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2503 pts/0 00:00:00 suunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2511 pts/0 00:00:00 bashunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3503 pts/0 00:00:00 ps

通过 ls -Z 命令我们可以查看文件上下文信息，也就是文件的SELinux信息：

[root@xiaoluo ~]# ls -Z-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfgdrwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 Desktop-rw-r--r--+ root root system_u:object_r:admin_home_t:s0 install.log-rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog

在稍后我们来探讨一下这些字段所代表的含义。

三、策略

在SELinux中，我们是通过定义策略来控制哪些域可以访问哪些上下文。

在SELinux中，预置了多种的策略模式，我们通常都不需要自己去定义策略，除非是我们自己需要对一些服务或者程序进行保护

在CentOS/RHEL中，其默认使用的是目标(target)策略，那么何为目标策略呢？

目标策略定义了只有目标进程受到SELinux限制，非目标进程就不会受到SELinux限制，通常我们的网络应用程序都是目标进程，比如httpd、mysqld，dhcpd等等这些网络应用程序。

我们的CentOS的SELinux配置文件是存放在 /etc/sysconfig/ 目录下的 selinux 文件，我们可以查看一下里面的内容：

[root@xiaoluo ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:#     enforcing - SELinux security policy is enforced.#     permissive - SELinux prints warnings instead of enforcing.#     disabled - No SELinux policy is loaded.SELINUX=enforcing# SELINUXTYPE= can take one of these two values:#     targeted - Targeted processes are protected,#     mls - Multi Level Security protection.SELINUXTYPE=targeted 　　// 我们的CentOS使用的策略就是目标策略

四、SELinux模式

SELinux的工作模式一共有三种 enforcing、permissive和disabled 

①enforcing　　强制模式：只要是违反策略的行动都会被禁止，并作为内核信息记录

②permissive　　允许模式：违反策略的行动不会被禁止，但是会提示警告信息

③disabled　　禁用模式：禁用SELinux，与不带SELinux系统是一样的，通常情况下我们在不怎么了解SELinux时，将模式设置成disabled，这样在访问一些网络应用时就不会出问题了。

上面也说了SELinux的主配置文件是 /etc/sysconfig/selinux 

[root@xiaoluo ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:#     enforcing - SELinux security policy is enforced.#     permissive - SELinux prints warnings instead of enforcing.#     disabled - No SELinux policy is loaded.SELINUX=enforcing　　//　　我们看到SELinux默认的工作模式是enforcing# SELINUXTYPE= can take one of these two values:#     targeted - Targeted processes are protected,#     mls - Multi Level Security protection.SELINUXTYPE=targeted 

我们SELinux默认的工作模式是enforcing，我们可以将其修改为 permissive或者是disabled

我们如果要查看当前SELinux的工作状态，可以使用 getenforce 命令来查看：

[root@xiaoluo ~]# getenforce Enforcing

当前的工作模式是 enforcing，我们如果要设置当前的SELinux工作状态，可以使用setenforce [0|1] 命令来修改，setenforce 0表示设置成 permissive，1表示enforcing

【注意：】通过 setenforce 来设置SELinux只是临时修改，当系统重启后就会失效了，所以如果要永久修改，就通过修改SELinux主配置文件

[root@xiaoluo ~]# setenforce 0[root@xiaoluo ~]# getenforcePermissive[root@xiaoluo ~]# setenforce 1[root@xiaoluo ~]# getenforce Enforcing

 

 

[root@xiaoluo ~]# ls -Z-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfgdrwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 Desktop-rw-r--r--+ root root system_u:object_r:admin_home_t:s0 install.log-rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog

 

我们可以通过 ls -Z 这个命令来查看我们文件的上下文信息，也就是SELinux信息，我们发现其比传统的 ls 命令多出来了 system_u:object_r:admin_home_t:s0 这个东西，我们现在就来分析一下这段语句所代表的含义

system_u:object_r:admin_home_t:s0这条语句通过：划分成了四段，第一段 system_u 代表的是用户，第二段 object_r 表示的是角色，第三段是SELinux中最重要的信息，admin_home 表示的是类型，最后一段 s0 是跟MLS、MCS相关的东西，暂时不需要管

①system_u　　指的是SElinux用户，root表示root账户身份，user_u表示普通用户无特权用户，system_u表示系统进程，通过用户可以确认身份类型，一般搭配角色使用。身份和不同的角色搭配时有权限不同，虽然可以使用su命令切换用户但对于SElinux的用户并没有发生改变，账户之间切换时此用户身份不变，在targeted策略环境下用户标识没有实质性作用。

②object_r　　object_r一般为文件目录的角色、system_r一般为进程的角色，在targeted策略环境中用户的角色一般为system_r。用户的角色类似用户组的概念，不同的角色具有不同的身份权限，一个用户可以具备多个角色，但是同一时间只能使用一个角色。在targeted策略环境下角色没有实质作用，在targeted策略环境中所有的进程文件的角色都是system_r角色。

③admin_home　　文件和进程都有一个类型，SElinux依据类型的相关组合来限制存取权限。

五、实例

下面我们通过一个实例来看一下上下文 context 的值和SELinux的访问控制

比如说我搭建好了一个Web服务器，我们知道www服务器其默认网页存放位置是在 /var/www/html 这个目录下，我们如果在这里新建一个 index.html 测试页面，启动我们的www服务器，刷新就能见到其内容了，这时我们如果是在我们的 /home 目录下建立一个 index.html 页面，然后将其移动到 /var/www/html 这个目录下，再刷新页面，其还会不会正常显示呢？

首先我们启动我们的 httpd 服务：

 

[root@xiaoluo ~]# service httpd restartStopping httpd:                                            [  OK  ]Starting httpd: httpd: apr_sockaddr_info_get() failed for xiaoluohttpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName                                                           [  OK  ]

 

然后打开浏览器，输入我们的 127.0.0.1 来访问，此时看到的界面是Apache的测试界面：

 

因为我们此时的 /var/www/html 下还不存在任何页面：

[root@xiaoluo home]# ll /var/www/html/total 0

接下来我们在 /home 目录下建立一个 index.html 的页面，然后将其移动到我们的 /var/www/html 目录下

[root@xiaoluo home]# vi index.htmlThis is a test about SELinux[root@xiaoluo home]# mv index.html /var/www/html/[root@xiaoluo html]# cd /var/www/html/[root@xiaoluo html]# lsindex.html

此时，按照正常情况，因为html目录下存在了一个index.html的页面，我们此时如果刷新浏览器页面，应该会跳转到index.html页面的

 

但是事实我们发现，页面还是在这个测试页面，到底是为什么呢？这个就跟我们的SELinux的安全策略有关系了，我们可以去/var/log/audit 这个目录下查看 audit.log 这个文件，从中找出错误信息

[root@xiaoluo html]# tail /var/log/audit/audit.log type=CRED_DISP msg=audit(1369575601.957:289): user pid=3637 uid=0 auid=0 ses=44 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'type=USER_END msg=audit(1369575601.957:290): user pid=3637 uid=0 auid=0 ses=44 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:session_close acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'type=AVC msg=audit(1369575729.534:291): avc:  denied  { getattr } for  pid=3619 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=filetype=SYSCALL msg=audit(1369575729.534:291): arch=c000003e syscall=4 success=no exit=-13 a0=7f34198634f8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=7f341985ff60 items=0 ppid=3612 pid=3619 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)type=AVC msg=audit(1369575729.535:292): avc:  denied  { getattr } for  pid=3619 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=filetype=SYSCALL msg=audit(1369575729.535:292): arch=c000003e syscall=6 success=no exit=-13 a0=7f34198635c8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=1 items=0 ppid=3612 pid=3619 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)type=AVC msg=audit(1369575736.549:293): avc:  denied  { getattr } for  pid=3618 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=filetype=SYSCALL msg=audit(1369575736.549:293): arch=c000003e syscall=4 success=no exit=-13 a0=7f34198634f8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=7f341985ff60 items=0 ppid=3612 pid=3618 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)type=AVC msg=audit(1369575736.549:294): avc:  denied  { getattr } for  pid=3618 comm="httpd" path="/var/www/html/index.html" dev=sda2 ino=538738 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=filetype=SYSCALL msg=audit(1369575736.549:294): arch=c000003e syscall=6 success=no exit=-13 a0=7f34198635c8 a1=7fffbc87bee0 a2=7fffbc87bee0 a3=1 items=0 ppid=3612 pid=3618 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)

从这个日志文件中，我们就可以看到刷新页面不出来index.html的原因就是因为我们的SELinux安全策略所导致的

我们通过 ls -Z 命令先来看看刚移动过来的 index.html 的上下文信息

[root@xiaoluo html]# ls -Z-rw-r--r--. root root unconfined_u:object_r:home_root_t:s0 index.html

我们发现其第三个字段的类型是 home_root_t,这是为什么呢？因为我们刚才是在 /home 目录下创建的这index.html文件，所以其默认会继承上一层目录的SELinux的类型信息，我们可以查看一下 /home 这个目录的上下文信息：

[root@xiaoluo html]# ls -Z -d /home/drwxr-xr-x. root root system_u:object_r:home_root_t:s0 /home/

我们看到，其第三个字段和我们刚才的index.html相同，由此可以看出文件的context值是受上一级目录影响的，一般情况下它们会继承上一级目录的context值，但是，一些安装服务产生的文件context值会例外，不继承上级目录的context值，服务会自动创建它们的context值，比如没有装http服务的时候/var/目录下时没有www目录的，安装httpd服务后该服务会自动创建出所需的目录，并定义与服务相关的目录及文件才context值，它们并不会继承上级目录的context值。

[root@xiaoluo html]# ls -Z -d /vardrwxr-xr-x. root root system_u:object_r:var_t:s0       /var[root@xiaoluo html]# ls -Z -d /var/www/html/drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

此时我们发现我们的 /var/www/html 这个目录的上下文类型是 httpd_sys_content_t， 而我们刚才移动过来的 index.html 的类型却是home_root_t,因为我们此时的SELinux的工作模式是 enforcing，所以对于违反策略的行动是被禁止的，所以我们刷新页面并不会出现我们的index.html里面的信息，那么我们这个时候应该解决这个问题呢？

通常解决办法由两种：

①直接将SELinux的工作模式设置成 disabled，这样就不会出现策略拦截问题了，但是这样的话我们的系统就没有SELinux安全防护了

②通过 restorecon 或者 chcon 命令来修复我们的文件上下文信息

命令 restorecon 可以用来恢复文件默认的上下文：

restorecon -R -v /var/www/html/index.html　　//-R 表示递归，如果是目录，则该目录下的所有子目录、文件都会得到修复　　

命令 chcon 可以改变文件的上下文信息，通常我们使用一个参照文件来进行修改：

chcon --reference=/var/www/html/index.html /var/www/html/test.html

这里我们通过使用 restorecon 命令来恢复我们文件默认的上下文：

[root@xiaoluo html]# restorecon -v index.html restorecon reset /var/www/html/index.html context unconfined_u:object_r:home_root_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0[root@xiaoluo html]# ls -Z-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html

我们看到，使用 restorecon 命令以后，index.html的上下文信息就继承了上一级目录 html 这个目录的上下文信息了，这个时候我们再刷新页面就可以看到我们index.html里面的内容了

 

通过这个实例我们就明白了文件的上下文信息与SELinux之间的关系了，并知道了通过查看/var/log/audit/audit.log 这个日志文件的信息找出错误所在，以及通过restorecon 命令来修复我们的文件的上下文信息

参考鸟哥私房菜的介绍，

本文中介绍的例子，domain需要与type搭配，该程序才能够顺利读取文件资源。

而这篇文章探究 SELinux 背后的思想及其基本架构，可以更好的理解SElinux.

访问控制方法

大多数操作系统使用访问控制来判断一个实体（用户或程序）是否能够访问给定资源。基于 UNIX® 的系统使用一种自主访问控制（discretionary access control，DAC）的形式。此方法通常根据对象所属的分组来限制对对象的访问。例如，GNU/Linux 中的文件有一个所有者、一个分组和一个权限集。权限定义谁可以访问给定文件、谁可以读取它、谁可以向其写入，以及谁可以执行它。这些权限被划分到三个用户集中，分别表示用户（文件所有者）、分组（一个用户组的所有成员）和其他（既不是文件所有者，又不是该分组的成员的所有用户）。

很多这样的访问控制都会带来一个问题，因为所利用的程序能够继承用户的访问控制。这样，该程序就可以在用户的访问层进行操作。与通过这种方式定义约束相比，使用最小特权原则 更安全：程序只能执行完成任务所需的操作。例如，如果一个程序用于响应 socket 请求，但不需要访问文件系统，那么该程序应该能够监听给定的 socket，但是不能访问文件系统。通过这种方式，如果该程序被攻击者利用，其访问权限显然是最小的。这种控制类型称为强制访问控制（MAC）。

另一种控制访问的方法是基于角色的访问控制（RBAC）。在 RBAC 中，权限是根据安全系统所授予的角色来提供的。角色的概念与传统的分组概念不同，因为一个分组代表一个或多个用户。一个角色可以代表多个用户，但它也代表一个用户集可以执行的权限。

SELinux 将 MAC 和 RBAC 都添加到了 GNU/Linux 操作系统中。下一节将探讨 SELinux 实现，以及如何将安全增强透明地添加到 Linux 内核中。

回页首

Linux 安全实现

在早期的 SELinux 中，它还是一个补丁集，它提供了自己的安全性框架。这存在着一些问题，因为它将 GNU/Linux 限制到一个单独的访问控制架构。Linux 内核继承了一种通用框架，将策略从实现中分离了出来，而不是采用单一的方法。该解决方案就是 Linux 安全模块（Linux Security Module，LSM）框架。LSM 提供了一种通用的安全框架，允许将安全模型实现为可载入内核模块（参见图 1）。

图 1. SELinux 将安全策略和实施分离

在访问内部对象之前对内核代码进行修改，以调用一个代表实施函数的钩子，该实施函数实现安全策略。该函数根据预定义的策略验证操作能否继续进行。安全函数存储在一个安全操作结构中，该结构包含必须受到保护的基本操作。例如，security_socket_create 钩子（security_ops->socket_create）在创建新 socket 之前检查权限，并考虑协议集、类型、协议，以及 socket 是在内核中创建还是在用户空间中创建。清单 1 提供了 socket.c 中用于创建 socket 的示例代码（参见 ./linux/net/socket.c）。

清单 1. 创建 socket 的内核代码

static int __sock_create(int family, int type, int protocol,                           struct socket **res, int kern){        int err;        struct socket *sock;        /*         *      Check protocol is in range         */        if (family < 0 || family >= NPROTO)                return -EAFNOSUPPORT;        if (type < 0 || type >= SOCK_MAX)                return -EINVAL;        err = security_socket_create(family, type, protocol, kern);        if (err)                return err;        ...

security_socket_create 函数在 ./linux/include/linux/security.h 中定义。它提供了从 security_socket_create 到 security_ops 结构中动态安装的函数的间接调用（参见清单 2）。

清单 2. 用于 socket 创建检查的间接调用

static inline int security_socket_create (int family, int type,                                          int protocol, int kern){        return security_ops->socket_create(family, type, protocol, kern);}

security_ops 结构中的函数通过安全模块安装。在本例中，这些钩子在可载入的 SELinux 内核模块中定义。每个 SELinux 调用在 hooks 文件内部定义，该文件实现从内核函数到特定安全模块的动态调用的间接性（参见清单 3 中的 .../linux/security/selinux/hooks.c 代码）。

清单 3. SELinux socket 创建检查

static int selinux_socket_create(int family, int type,                                 int protocol, int kern){        int err = 0;        struct task_security_struct *tsec;        if (kern)                goto out;        tsec = current->security;        err = avc_has_perm(tsec->sid, tsec->sid,                           socket_type_to_security_class(family, type,                           protocol), SOCKET__CREATE, NULL);out:        return err;}

清单 3 的核心部分是一个调用，用于验证当前操作是否是当前任务（通过 current->security 定义，其中 current 代表当前正在执行的任务）所允许的。访问向量缓存（Access Vector Cache，AVC）缓存了之前的 SELinux 决策（提高进程的性能）。此调用包括源安全标识符（sid）、安全类（根据请求操作的详细信息构造）、特定 socket 调用，以及可选的辅助审计数据。如果未在缓存中找到决策，那么会调用安全服务器来获取决策（此过程如图 2 所示）。

图 2. 分层 Linux 安全进程

初始化到 security_ops 中的回调钩子被动态定义为一个可载入内核模块（通过 register_security()），但是在没有载入安全模块时，这些钩子包含伪桩（dummy stub）函数（参见 ./linux/security/dummy.c）。这些桩函数实现标准 Linux DAC 策略。始终存在回调钩子，其中必须提供对象中介（mediation）来保证安全性。这包括任务管理（创建、通知、等待）、程序载入（execve）、文件系统管理（超级块、inode、文件钩子）、IPC（消息队列、共享内存、信号量（semaphore）操作）、模块钩子（插入和删除）、网络钩子（覆盖 socket、netlink、网络设备和其他协议接口）。

http://www.cnblogs.com/xiaoluo501395377/archive/2013/05/26/3100444.html

http://www.ibm.com/developerworks/cn/linux/l-selinux/