SELinux 入门 pt.2

手机

浙江印发建设指南引导景区城、景区镇高质量建设

为居民提供全方位一体化的停车充电服务，杨浦这个街道推出“智慧车棚”项目

家电

SELinux 入门 pt.2

2023-08-25 19:10:24 来源：博客园

哈喽大家好，我是咸鱼

在《SELinux 入门 pt.1》中，咸鱼向各位小伙伴介绍了 SELinux 所使用的 MAC 模型、以及几个重要的概念（主体、目标、策略、安全上下文）

(资料图片仅供参考)

我们还讲到：

对于受 SELinux 管制的进程，会先检查 SELinux 策略规则，然后再检查 DAC 规则
对于不受 SELinux 管制的进程，仍然会执行 DAC 规则

也就是说对于受 SELinux 管制的进程而言，想要对文件资源进行操作，需要先经过 SELinux 策略规则的三个关卡（SELinux 模式查看——>策略规则比对——>安全上下文比对），然后再经过 DAC 规则中的 rwx权限比对

过程如下图所示需要注意的是，并不是所有的程序都会被 SELinux 所管制，被 SELinux 管制的进程主体被称为【受限程序主体】

举个例子，我们看一下 crond进程和 bash进程

# 通过 ps 命令查看[root@localhost ~]# ps -eZ | grep -E "cron|bash"system_u:system_r:crond_t:s0-s0:c0.c1023 1340 ? 00:00:00 atdunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 28094 pts/0 00:00:00 bashsystem_u:system_r:crond_t:s0-s0:c0.c1023 28174 ? 00:00:00 crond

可以看到，crond是受限的主体进程（crond_t），而 bash因为是本机进程，因此就是不受限 unconfined_t的类型，即 bash 可以直接进行 rwx 权限比对，而不需要进行 SELinux 策略规则比对

接下来我们来分别看一下 SELinux 策略规则比对中的三个关卡

SELinux 运行模式

受限程序主体首先来到第一关：SELinux 运行模式比对

SELinux 有三种运行模式，用于控制系统中进程和文件资源访问的安全性

这三种模式分别是：

Enforcing（强制）

这个是默认的模式，在这个模式下 SELinux 正常运行，会强制执行访问控制规则，限制进程和用户对系统资源的访问

如果一个进程试图执行未经授权的操作，如读取或修改受限文件，强制模式会阻止这些操作并记录相关的安全事件

permissive（宽松）

在宽松模式下，SELinux 会记录违反访问规则的操作，但不会阻止它们

这允许用户查看哪些操作会受到限制，但不会影响应用程序的正常运行

宽容模式通常用于识别需要修改的规则，以确保应用程序在强制模式下可以正常运行

disabled（禁用）

在禁用模式下，SELinux 完全被关闭，不再对进程和文件访问进行任何安全限制

如何查看当前 SELinux 的运行模式？

[root@localhost ~]# getenforce Enforcing

如果返回结果是 Enforcing，表示当前运行在强制模式；如果是 Permissive，表示运行在宽容模式；如果是 Disabled，表示 SELinux 被禁用

如何切换 SELinux 运行模式？

临时切换

# 更改为 enforcing 模式[root@localhost ~]# setenforce 1# 更改为 permissive 模式[root@localhost ~]# setenforce 0

PS：临时切换系统重启后会恢复为默认模式

如果 SELinux 为 disabled运行模式，表示 SELinux 已经关闭，是无法切换成 Enforcing模式或 Permissive模式的

永久切换

如果要永久更改，需要修改配置文件

以 CentOS 7.x 为例

[root@localhost ~]# vim /etc/selinux/config

将 SELINUX的值更改为 enforcing、permissive或 disabled，保存文件然后重启系统

策略与规则

受限主体程序通过第一关之后来到第二关——策略（policy）和规则（rule）比对

可以使用 sestatus来查看当前 SELinux 使用那些策略

sestatus-v：检查位于 /etc/sestatus.conf 中的文件与进程的安全上下文-b：显示当前策略的规则（以布尔值列出）

[root@localhost ~]# sestatusSELinux status:                 enabled # selinux 是否启动SELinuxfs mount:                /sys/fs/selinux # selinux 相关文件挂载点SELinux root directory:         /etc/selinux # 根目录Loaded policy name:             targeted # 当前策略Current mode:                   permissive # 当前模式Mode from config file:          enforcing # 当前在配置文件内的模式Policy MLS status:              enabled # 是否包含 MLS 模式Policy deny_unknown status:     allowed # 是否预设抵挡未知的主体进程Max kernel policy version:      31

如果想要查看当前策略下的规则，可以使用setatus -b或者 getsebool命令

[root@localhost ~]# sestatus -a[root@localhost ~]# getsebool

[root@localhost ~]# getsebool -aabrt_anon_write --> offabrt_handle_event --> offabrt_upload_watch_anon_write --> onantivirus_can_scan_system --> offantivirus_use_jit --> offauditadm_exec_content --> onauthlogin_nsswitch_use_ldap --> offauthlogin_radius --> offauthlogin_yubikey --> offawstats_purge_apache_log_files --> offboinc_execmem --> oncdrecord_read_content --> offcluster_can_network_connect --> offcluster_manage_all_files --> offcluster_use_execmem --> offcobbler_anon_write --> off...

我们可以看到上面的输出中有特别多的 SELinux 规则，但是每个规则中具体是怎么限制的我们却还不知道

我们可以通过 seinfo等工具进行查看

# 需要先下载[root@localhost ~]# yum install -y setools-console

# 可以看到策略是 targeted，这个策略的安全上下文类型有 4793 个，而规则（Booleans）则有 316 条[root@localhost ~]# seinfo Statistics for policy file: /sys/fs/selinux/policyPolicy Version & Type: v.31 (binary, mls)   Classes:           130    Permissions:       272   Sensitivities:       1    Categories:       1024   Types:            4793    Attributes:        253   Users:               8    Roles:              14   Booleans:          316    Cond. Expr.:       362   Allow:          107834    Neverallow:          0   Auditallow:        158    Dontaudit:       10022   Type_trans:      18153    Type_change:        74   Type_member:        35    Role allow:         37   Role_trans:        414    Range_trans:      5899   Constraints:       143    Validatetrans:       0   Initial SIDs:       27    Fs_use:             32   Genfscon:          103    Portcon:           614   Netifcon:            0    Nodecon:             0   Permissives:         0    Polcap:              5

# 查看用户[root@localhost ~]# seinfo -uUsers: 8   sysadm_u   system_u   xguest_u   root   guest_u   staff_u   user_u   unconfined_u# 查看角色[root@localhost ~]# seinfo -rRoles: 14   auditadm_r   dbadm_r   guest_r   staff_r   user_r   logadm_r   object_r   secadm_r   sysadm_r   system_r   webadm_r   xguest_r   nx_server_r   unconfined_r

前面我们知道 crond进程的类型是 crond_t，那我想知道 crond_t这个 domain 能够读取那些 type 的文件资源

# 查询 crond_d 主体[root@localhost ~]# sesearch -A -s crond_t...   allow crond_t user_cron_spool_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;   allow crond_t user_cron_spool_t : dir { ioctl read write getattr lock add_name remove_name search open } ;    allow crond_t unconfined_cronjob_t : process transition ;    allow crond_t openshift_domain : process transition ;    allow crond_t security_t : lnk_file { read getattr } ; ...

allow 后面接主体进程以及文件的 SELinux 类型，比如说 crond_t可以读取 user_cron_spool_t类型的文件和目录

那如果想要关闭或打开某个 SELinux 规则，该怎么办

# 查询到下面的规则是 off 状态，我们想打开它[root@localhost ~]# getsebool httpd_enable_homedirshttpd_enable_homedirs --> off# 启动# 一定要加上 -P ，这样才会写入配置文件[root@localhost ~]# setsebool -P httpd_enable_homedirs 1

安全上下文

第一关考虑 SELinux 三种运行模式，第二关考虑了 SELinux 的策略规则

现在我们来到了第三关——安全上下文比对

关于安全上下的知识我在《SELinux 入门 pt.1》中已经介绍过了，今天我们着重讲下安全上下文的修改

chcon 手动修改

chcon 命令的基本语法如下：

chcon [options] context file...

其中，context表示要设置的安全上下文，file...表示要修改的文件或目录路径。下面是一些常用的选项和示例：

-R, --recursive：递归修改指定目录下所有文件的安全上下文
-t, --type：指定要设置的新类型标签
-u, --user：指定要设置的新用户
-r, --role：指定要设置的新角色

举几个例子

# 修改文件的安全上下文类型：chcon -t httpd_sys_content_t /var/www/html/index.html# 递归修改目录及其子目录中的文件安全上下文类型：chcon -R -t httpd_sys_content_t /var/www/html/# 修改文件的安全上下文用户和角色：chcon -u system_u -r object_r /path/to/file

restorecon 恢复为默认值

使用 chcon 命令修改安全上下文可能会导致某些文件和目录的访问权限问题

如果对 SELinux 的运作机制和相应的安全策略不熟悉的，可以使用 restorecon命令恢复默认的 SELinux 上下文

基本语法如下：

restorecon [-R] [-v] [file...]-R ：表示递归地操作目录及其子目录-v ：表示显示详细信息file... ：是要进行恢复的文件或目录路径

举个例子

# 恢复单个文件的安全上下文：restorecon /var/www/html/index.html# 递归地恢复目录及其子目录的安全上下文：restorecon -R /var/www/html/# 显示详细信息：restorecon -v /var/www/html/index.html

关键词：