云原生大佬重生，记忆逐步复苏（十三：selinux模块）

目录

1：什么是selinux

1.1 SELinux 的作用

1.2. SELinux 的工作原理

1.3. SELinux 的运行模式

2:解析selinux文件上下文标签策略

3：selinux的布尔值

4:调查和解决selinux问题

---

1：什么是selinux

SELinux（Security-Enhanced Linux）是一种基于安全策略的访问控制机制，用于增强 Linux 系统的安全性。它通过强制访问控制（MAC，Mandatory Access Control）来限制进程和用户对系统资源的访问，从而提供比传统 Linux 权限模型（基于用户、组和文件权限）更细粒度和更灵活的安全控制。

1.1 SELinux 的作用

SELinux 的主要目标是：

提供强制访问控制：通过定义安全策略，限制进程和用户对系统资源（如文件、网络、设备等）的访问，防止恶意行为和安全漏洞的利用。

最小化权限原则：确保每个进程或用户只拥有完成其任务所必需的最小权限，减少潜在的安全风险。

增强系统安全性：通过限制进程的行为，防止恶意软件或漏洞对系统的破坏，即使攻击者突破了某个进程，也无法轻易扩展其权限。

1.2. SELinux 的工作原理

SELinux 的核心是安全策略，它定义了系统中各个主体（subjects）和客体（objects）之间的访问关系。主体通常是进程，而客体可以是文件、网络端口、设备等。SELinux 策略通过以下方式实现访问控制：

1.2.1 安全上下文（Security Context）

每个主体和客体都被分配了一个安全上下文，它是一个字符串，描述了该主体或客体的安全属性。例如：

在这个例子中：

system_u：用户身份（User）。

object_r：角色（Role）。

etc_t：类型（Type）。

s0：安全级别（Sensitivity Level）。

-Z选项可以查看资源的标签。

标签的各个组成部分解析

-用户（User）

含义：标识用户的身份，用于区分不同用户的安全上下文。

常见值：

system_u：系统用户，通常用于系统进程。

user_u：普通用户。

作用：用户部分定义了标签所属的用户身份，与角色和类型一起决定访问权限。

-角色（Role）

含义：定义用户或进程可以扮演的角色，用于限制进程或用户可以访问的类型。

常见值：

system_r：系统角色，通常用于系统进程。

object_r：对象角色，通常用于文件和目录。

作用：角色部分限制了用户或进程可以访问的类型（域）。例如，object_r 角色通常用于文件和目录，而 system_r 角色用于系统进程。

-类型（Type）

含义：定义对象的类型或进程的域，是 SELinux 策略中最关键的部分。

常见值：

httpd_t：Web 服务器进程的类型。

httpd_content_t：Web 服务器可以访问的文件类型。

etc_t：/etc 目录中文件的类型。

作用：类型部分是 SELinux 策略的核心，用于定义主体（如进程）和客体（如文件）之间的访问规则。SELinux 策略通过类型强制（Type Enforcement, TE）来控制访问。

-

多级安全级别（MLS Level）

含义：定义对象的敏感度级别，用于多级安全（MLS）或多类别安全（MCS）策略。

常见值：

s0：最低敏感度级别。

s0:c0.c1023：包含多个类别的敏感度级别。

作用：敏感度级别用于控制不同安全级别之间的访问。在 MLS 策略中，只有相同或更高敏感度级别的主体才能访问较低敏感度级别的客体。

-类别（Category）

含义：对特定敏感度级别进行进一步的分类，用于更细粒度的访问控制。

常见值：

c0：类别 0。

c0.c1023：类别范围从 0 到 1023。

作用：类别用于在相同敏感度级别下进一步划分访问权限。在 MLS 策略中，类别可以用于更细粒度的访问控制。

-范围（Range）

含义：定义对象的敏感度级别范围，用于 MLS 策略。

常见值：

s0-s0:c0.c1023：表示从最低敏感度级别到包含多个类别的范围。

作用：范围用于定义对象的敏感度级别区间，允许在该区间内的访问。

1.2.2 策略规则

SELinux 策略定义了主体和客体之间的访问规则。例如：

允许规则：allow <subject> <object>:<class> <permissions>;

类型规则：定义进程可以访问哪些类型的文件或资源。

作用：允许httpd-t的进程使用httpd_content_t的文件，具有读写权限

1.2.3 强制访问控制（MAC）

SELinux 使用强制访问控制机制，即访问控制决策由安全策略决定，而不是由用户或进程的权限决定。即使用户拥有文件的所有权，SELinux 策略也可以限制其访问。

示例：SELinux 的实际应用

假设有一个 Web 服务器进程运行在 SELinux 环境下，SELinux 策略可能会限制它只能访问特定目录（如 /var/www/html），而不能访问其他敏感文件（如 /etc/passwd）。即使 Web 服务器进程的用户（如 apache）拥有对 /etc/passwd 的读权限，SELinux 策略也会阻止其访问。

1.3. SELinux 的运行模式

SELinux 有三种运行模式：

-Enforcing 模式：强制执行安全策略，违反策略的操作将被阻止。

-Permissive 模式：记录违反策略的操作，但不阻止它们。这种模式用于调试和测试策略。

-Disabled 模式：SELinux 完全禁用，不执行任何安全策略。

可以通过以下命令查看当前 SELinux 模式：

也可以通过以下命令设置当前的selinux模式

Setenforce 0|1  0表示permissive ,1表示enforcing

如果你想禁用selinux，从linux9起，redhat版本的linux只能在内核参数上设置selinux=0来禁用selinux，不能在selinux的配置文件上/etc/selinux/config上设置selinux=disabled了，这样的话只会导致所有的操作都失败，因为会强制执行所有策略，但是又不会加载任何策略。这个是有意为之的，为了避免绕过selinux进行违规操作。

2:解析selinux文件上下文标签策略

上面已经提到过,selinux通过给予主体和客体对应的安全上下文来限定访问方式，那么给予文件安全上下文的策略就叫做文件上下文标签策略，selinux预先给文件系统内的文件和目录制定了文件上下文策略，就在/etc/selinux/targeted/contexts/files中：

在linux中管理（包括查看，添加，删除）文件上下文策略的命令是semanage fcontext,预先需要下载policycoreutils和policycoreutils-python-utils软件包，里面包含semanage和restorecon命令。

文件上下文策略应用包含了添加文件上下文策略，应用文件上下文策略，删除文件上下文策略，查看文件上下文策略，修改文件上下文策略。

-查看文件上下文策略：semanage fcontext -l

-修改文件上下文策略：chcon -t 标签 目录或文件

-添加文件上下文策略 semanage fcontext -a -t 指定路径

备注：(/.*)?是扩展表达式，常用于表示某个目录后的所有文件，()?表示括号里面的内容可以出现0-无数次。进行相应的文件模式匹配。

下面是未添加策略前的准备和标签展示：

下面是添加策略

可以发现仍然标签没有变化，因为此时添加的策略还没有应用，需要用restorecon命令来应用策略，另外同一个路径不能多次添加策略

可以看到此时策略应用成功

-删除文件上下文策略 semanage fcontext -d -t

可以看到标签又恢复到之前的了。

备注1：在同一个文件系统内移动或者复制文件的时候，文件的安全上下文也会根据复制或者移动的位置发生更改，具体取决于对应的selinux策略，如果想不发生更改，可以用对应的选项保留安全上下文。

比如说：cp -p（保留所有属性），cp --preserve=type(保留标签类型)

备注2：semanage除了可以管理文件标签上下文外，还可以管理类似于端口，角色，用户，接口等等关于selinux的各个方面，再补充一下端口的管理

-添加端口：

semanage port -a -t <type> -p <protocol> <port>

示例：为 HTTP 服务添加 TCP 端口 8080：

semanage port -a -t http_port_t -p tcp 8080

-删除端口：

semanage port -d -p <protocol> <port>

示例：删除 TCP 端口 8080：

semanage port -d -p tcp 8080

-查询端口：

semanage port -l | grep <port>

示例：查询端口 8080 的上下文：

semanage port -l | grep 8080

3：selinux的布尔值

在上面的增加策略和删除策略中我想应该会有一点繁琐，因为加入我想添加策略还要特地去进行添加，还要应用策略，如果碰上一种需要频繁更换策略的场景就会非常繁琐，所以selinux布尔值应运而生。通过调整布尔值，管理员可以灵活地控制系统的安全策略，而无需重新编译或修改 SELinux 策略文件。

常用的布尔值管理命令

1. 查询布尔值

getsebool 命令用于查询 SELinux 布尔值的状态：

getsebool -a  # 显示所有布尔值的状态

getsebool httpd_can_network_connect  # 查询特定布尔值的状态

2. 修改布尔值

setsebool 命令用于修改布尔值的状态：

setsebool httpd_can_network_connect on  # 临时启用布尔值

setsebool httpd_can_network_connect off  # 临时禁用布尔值

3. 持久化修改

使用 -P 选项可以使修改后的布尔值状态在系统重启后仍然生效：

setsebool -P httpd_can_network_connect on  # 永久启用布尔值

4. 列出布尔值及其描述

semanage boolean -l 命令可以列出所有布尔值及其描述：

semanage boolean -l  # 列出所有布尔值及其描述

布尔值修改的影响

修改布尔值会立即改变系统上的活动策略规则。例如，启用 httpd_can_network_connect 布尔值后，Apache Web 服务器将被允许进行网络连接.

4:调查和解决selinux问题

如之前所示，如果当我们做出了违背selinux策略的操作时，在permissive和enforcing模式下会被记录下来，那么第一个问题，记录的地方在哪里呢，会记录哪些东西呢，如何去解决问题呢，围绕着这三个问题，我们一一讨论。

-selinux问题记录在哪里？

备注：提供selinux诊断和解决服务由setroubleshoot-server软件包提供，里面包含了以下工具和进程。

1.主要进程

setroubleshootd：

功能：这是 setroubleshoot 的主守护程序，用于处理传入的 SELinux 审计事件和插件定义。它会分析 AVC 消息，并根据插件的建议生成警报。

启动方式：通常由系统自动启动，也可以通过命令手动启动：

systemctl start setroubleshootd

日志文件：setroubleshootd 的输出会记录到 /var/log/messages 文件中。

sedispatch：

功能：这是一个审计调度程序，用于扫描 SELinux 的访问控制违规（AVC）消息，并将它们转换为 DBus 消息，然后传递给 setroubleshootd。

工作方式：sedispatch 通常由 auditd 服务触发，用于实时处理 AVC 消息。

2. 主要工具

sealert：

功能：这是一个命令行工具，用于分析 /var/log/audit/audit.log 或其他日志文件中的 SELinux AVC 消息，并提供详细的错误分析和解决建议。

使用方法：

sealert -a /var/log/audit/audit.log

或者分析特定的 AVC 消息：

sealert -l <avc_message_id>

setroubleshoot-plugins：

功能：这是一组插件，用于分析 AVC 消息并提供解决问题的建议。这些插件可以根据不同的错误类型提供具体的修复方法，例如调整文件上下文、修改 SELinux 布尔值等。

3. 数据库文件

/var/lib/setroubleshoot/setroubleshoot_database.xml：

功能：这是一个警报数据库文件，用于存储 setroubleshootd 生成的警报和分析结果。管理员可以通过这个文件查看历史警报和分析结果。

4. 工作原理

setroubleshoot 的工作流程如下：

收集 AVC 消息：auditd 服务收集 SELinux 的 AVC 消息，并将其记录到 /var/log/audit/audit.log 文件中。

消息转换：sedispatch 从审计日志中读取 AVC 消息，并将其转换为 DBus 消息。

分析和警报：setroubleshootd 接收 DBus 消息，并通过插件分析这些消息。如果检测到问题，它会生成警报并记录到 /var/log/messages 文件中。

提供解决方案：sealert 工具可以读取警报并提供详细的错误分析和解析

-记录哪些东西呢？

如上所说，既然已经生成了警报，那么首先生成的AVC（access vector control）消息是什么呢，AVC是系统的selinux策略阻止某个进程访问系统资源时生成的一个日志记录

AVC 消息通常包含以下关键信息：

时间戳：记录违规发生的时间。

进程信息：

进程 ID（PID）：触发违规的进程 ID。

进程上下文：触发违规的进程的安全上下文（如 unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023）。

资源信息：

目标资源：被访问的资源（如文件路径、网络端口等）。

资源上下文：目标资源的安全上下文。

访问类型：被拒绝的访问类型（如 read、write、execute 等）。

结果：违规的结果（通常是 denied）。

3. AVC 消息的示例

假设你运行了一个 Web 服务器（如 Apache），但 SELinux 策略阻止了它访问某个文件。你可能会在 /var/log/audit/audit.log 文件中看到类似以下的 AVC 消息：

type=AVC msg=audit(1680323400.123:1234): avc:  denied  { read } for  pid=12345 comm="httpd" name="index.html" dev="sda1" ino=123456 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:etc_t:s0 tclass=file permissive=0

解析示例

type=AVC：表示这是一条 AVC 消息。

msg=audit(1680323400.123:1234)：时间戳和审计消息 ID。

avc: denied { read }：表示访问被拒绝，具体是读取操作。

pid=12345：触发违规的进程 ID。

comm="httpd"：触发违规的进程名称（Apache Web 服务器）。

name="index.html"：被访问的文件名。

dev="sda1"：文件所在的设备。

ino=123456：文件的 inode 编号。

scontext=system_u:system_r:httpd_t:s0：触发违规的进程的安全上下文。

tcontext=unconfined_u:object_r:etc_t:s0：目标文件的安全上下文。

tclass=file：目标资源的类别（文件）。

permissive=0：表示 SELinux 当前处于强制模式（Enforcing）。

然后，AVC消息记录到/var/log/audit/audit.log后，消息的摘要会被selinux诊断服务发送到/var/log/messages上。

-如何分析和解决selinux问题呢

简单来说，avc消息产生后，如何分析avc消息得到提示解决操作是我们要做的工作，软件包提供了sealert和ausearch工具来分析avc消息，每个avc消息都有自己独特UUID，或者可以根据日志文件记录的avc消息来分析。

Ausearch是从审计日志中audit.log中查找特定的avc事件

示例：ausearch -m avc

Sealert是根据avc事件的UUID来生成一份详细的审查和建议报告

示例：sealert -l UUID

或者根据日志来分析所有的AVC消息

示例：sealert -a /var/log/audit/audit.log