SElinux介紹

Security-Enhanced Linux ，是美國國家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)開發的 Linux的一個強制訪問控制的安全模塊。2000年以GNU GPL發布，Linux內核 2.6版本后集成在內核中

DAC：Discretionary Access Control自由訪問控制

mac：Mandatory Access Control 強制訪問控制

1. • DAC環境下進程是無束縛的
2. • MAC環境下策略的規則決定控制的嚴格程度
3. • MAC環境下進程可以被限制的
4. • 策略被用來定義被限制的進程能夠使用那些資源（文件和端口）
5. • 默認情況下，沒有被明確允許的行為將被拒絕

SELinux策略

對象(object)：所有可以讀取的對象，包括文件、目錄和進程，端口等

主體：進程稱為主體(subject)

SELinux中對所有的文件都賦予一個type的文件類型標簽，對于所有的進程也賦 予各自的一個domain的標簽。domain標簽能夠執行的操作由安全策略里定義

當一個subject試圖訪問一個object，Kernel中的策略執行服務器將檢查AVC (訪 問矢量緩存Access Vector Cache), 在AVC中，subject和object的權限被緩存 (cached)，查找“應用+文件”的安全環境。然后根據查詢結果允許或拒絕訪問

安全策略：定義主體讀取對象的規則數據庫，規則中記錄了哪個類型的主體使用 哪個方法讀取哪一個對象是允許還是拒絕的，并且定義了哪種行為是充許或拒絕

SELinux工作類型

SELinux有四種工作類型：

1. Strict：centos 5,每個進程都受到selinux的控制
2. targeted：用來保護常見的網絡服務,僅有限進程受到selinux控制，只監控 容易被入侵的進程，CentOS 4只保護13個服務，CentOS 5保護88個服務
3. minimum：CentOS 7,修改的 targeted，只對選擇的網絡服務
4. mls：提供MLS（多級安全）機制的安全性

targeted為默認類型，minimum和mls穩定性不足，未加以應用，strict已不再 使用

SELinux安全上下文

傳統Linux，一切皆文件，由用戶，組，權限控制訪問

在SELinux中，一切皆對象（object），由存放在inode的擴展屬性域的安全元 素所控制其訪問

所有文件和端口資源和進程都具備安全標簽：安全上下文（security context） ?安全上下文有五個元素組成：

user:role:type:sensitivity:category

user_u:object_r:tmp_t:s0:c0

實際上下文：存放在文件系統中，ls –Z;ps –Z

期望(默認)上下文：存放在二進制的SELinux策略庫（映射目錄和期望安全上下 文）中

semanage fcontext –l

五個安全元素

1. User：指示登錄系統的用戶類型,進程：如system_u為系統服務進程，是受到管 制的，unconfined_u為不管制的進程，用戶自己開啟的，如 bash，文件： system_u系統進程創建的文件， unconfined_u為用戶自已創建的文件
2. Role：定義文件，進程和用戶的用途：進程：system_r為系統服務進程，受到 管制。unconfined_r 為不管制進程，通常都是用戶自己開啟的，如 bash，文 件:object_r
3. Type：指定數據類型，規則中定義何種進程類型訪問何種文件Target策略基于 type實現,多服務共用：public_content_t
4. Sensitivity：限制訪問的需要，由組織定義的分層安全級別，如 unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級， s0最低,Target策略默認使用s0
5. Category：對于特定組織劃分不分層的分類，如FBI Secret，NSA secret, 一個 對象可以有多個categroy， c0-c1023共1024個分類， Target 策略不使用 category

設置SELinux

配置SELinux:

• SELinux是否啟用
• 給文件重新打安全標簽
• 給端口設置安全標簽
• 設定某些操作的布爾型開關
• SELinux的日志管理

SELinux的狀態：

• enforcing：強制，每個受限的進程都必然受限
• permissive：允許，每個受限的進程違規操作不會被禁止，但會被記錄于 審計日志
• disabled：禁用

相關命令：

getenforce: 獲取selinux當前狀態

sestatus :查看selinux狀態

setenforce 0|1

 0: 設置為permissive 
 1: 設置為enforcing 

配置文件:

/boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

/boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

/etc/selinux/config

/etc/sysconfig/selinux

 SELINUX={disabled|enforcing|permissive} 

修改SELinux安全標簽

給文件重新打安全標簽：

chcon [OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE…

chcon [OPTION]… --reference=RFILE FILE…

 -R：遞歸打標 

恢復目錄或文件默認的安全上下文：

restorecon [-R] /path/to/somewhere

默認安全上下文查詢與修改

semanage：來自policycoreutils-Python包

查看默認的安全上下文

semanage fcontext –l

添加安全上下文

semanage fcontext -a –t httpd_sys_content_t ‘/testdir(/.*)?’ restorecon –Rv /testdir

刪除安全上下文

semanage fcontext -d –t httpd_sys_content_t ‘/testdir(/.*)?’

SElinux端口標簽

查看端口標簽

semanage port –l

添加端口

semanage port -a -t port_label -p tcp|udp

PORT

semanage port -a -t http_port_t -p tcp 9527

刪除端口

semanage port -d -t port_label -p tcp|udp

PORT

semanage port -d -t http_port_t -p tcp 9527

修改現有端口為新標簽

semanage port -m -t port_label -p tcp|udp

PORT

semanage port -m -t http_port_t -p tcp 9527

SELinux布爾值

布爾型規則：

getsebool

setsebool

查看bool命令：

getsebool [-a] [boolean]

semanage boolean –l

semanage boolean -l –C 查看修改過的布爾值

設置bool值命令：

setsebool [-P] boolean value（on,off）

setsebool [-P] Boolean=value（1，0）

SELinux日志管理

yum install setroubleshoot（重啟生效）

將錯誤的信息寫入/var/log/message

grep setroubleshoot /var/log/messages

查看安全事件日志說明

sealert -l UUID

掃描并分析日志

sealert -a /var/log/audit/audit.log

SELinux幫助

1. yum –y install selinux-policy-devel ( centos7.2)
2. yum –y install selinux-policy-doc
3. mandb | makewhatis
4. man -k _selinux