超级会员免费看
利用SELinux增强Linux安全性
1. SELinux简介
在传统的Linux系统中,当Web服务器守护进程(httpd)监听端口并接收到来自浏览器查看主页的请求时,仅应用“传统”的Linux安全机制。此时,httpd不受SELinux约束,可以执行以下操作:
- 基于关联所有者和组的读/写/执行权限,访问任何文件或目录。
- 执行潜在不安全的活动,例如允许文件上传或更改系统限制。
- 监听它喜欢的任何端口以接收传入请求。
而在受SELinux约束的系统中,httpd守护进程受到更严格的控制。例如,httpd只能监听SELinux允许它监听的端口。SELinux会阻止httpd访问未设置正确安全上下文的任何文件,并拒绝那些未在SELinux中通过布尔值明确启用的潜在不安全活动。本质上,SELinux极大地限制了恶意代码可能访问的内容,并总体上限制了Linux系统上的活动。
2. SELinux的工作原理
可以将SELinux比作门口的警卫。在这个比喻中,主体(用户)想要访问房间内的对象(文件)。为了获得对该对象的访问权限:
1. 主体必须向警卫出示身份证。
2. 警卫会查看身份证以及保存在一本大型手册中的访问规则:
- 如果访问规则允许该特定身份证进入门内,主体可以进入房间访问对象。
- 如果访问规则不允许该特定身份证访问对象,则警卫会拒绝其进入。
SELinux结合了基于角色的访问控制(RBAC)以及类型强制(TE)或多级安全(MLS)。在基于角色的访问控制中,对对象的访问基于主体在组织中分配的角色,而不是基于主体的用户名或进程ID。每个角色都被授予访问权限。
3. 理解类型强制(TE)
类型强制(TE)是实现RBAC模型所必需的。它通过以下方法保护系统:
- 将对象标记为特定的安全类型。
- 将主体分配到特定的域和角色。
- 提供允许某些域和角色访问某些对象类型的规则。
以下是使用
ls -l
命令显示文件
my_stuff
的自主访问控制(DAC)信息的示例:
$ ls -l my_stuff
-rw-rw-r--. 1 johndoe johndoe 0 Feb 12 06:57 my_stuff
而使用
ls -lZ
命令,除了显示DAC控制信息外,还会显示SELinux安全RBAC控制信息:
$ ls -lZ my_stuff
-rw-rw-r--. johndoe johndoe unconfined_u:object_r:user_home_t:s0
... my_stuff
ls -Z
示例显示了与文件相关的四个特定于SELinux的项目:
|项目|详情|
| ---- | ---- |
|用户(user)|unconfined_u|
|角色(role)|object_r|
|类型(type)|user_home_t|
|级别(level)|s0|
这四个RBAC项目(用户、角色、类型和级别)用于SELinux访问控制,以确定适当的访问级别。它们一起被称为SELinux安全上下文,有时也称为安全标签。这些安全上下文分配给主体(进程和用户),根据分配的对象或主体不同,有不同的名称:文件有文件上下文,用户有用户上下文,进程有进程上下文(也称为域)。允许访问的规则称为允许规则或策略规则,SELinux通过这些规则来决定是否授予对特定系统安全类型的访问权限。
4. 理解多级安全(MLS)
SELinux的默认策略类型是目标策略(Targeted),它主要控制如何在Linux系统上访问网络服务(如Web服务器和文件服务器)。目标策略对系统上的有效用户账户的限制较少。如果需要更严格的策略,可以选择多级安全(MLS)。MLS使用类型强制,并增加了安全许可的功能,还提供多类别安全(MCS),为对象赋予分类级别。
多级安全(MLS)强制执行Bell - LaPadula强制访问安全模型。该模型由美国政府开发,用于确保信息机密性。通过根据角色的安全许可和对象的分类级别来授予对象访问权限,从而实现该模型。安全许可是授予角色的一种属性,允许其访问机密对象;分类级别是授予对象的一种属性,用于保护对象免受安全许可属性过低的主体的访问。例如,虚构的书籍和电影角色詹姆斯·邦德拥有绝密安全许可,这使他能够访问绝密机密信息,这是Bell - LaPadula模型的一个经典示例。
5. SELinux安全模型的实现
SELinux通过以下四个主要部分来实现其安全模型:
- 操作模式
- 安全上下文
- 策略类型
- 策略规则包
6. 理解SELinux操作模式
SELinux有三种操作模式:禁用、宽容和强制。每种模式都为Linux系统安全提供不同的好处。
6.1 禁用模式
在禁用模式下,SELinux关闭,使用默认的访问控制方法——自主访问控制(DAC)。这种模式适用于不需要增强安全性的情况。不过,Red Hat建议尽可能将SELinux设置为宽容模式而不是禁用它。但在某些情况下,禁用SELinux是合适的。例如,当运行的应用程序从你的角度来看工作正常,但会生成大量的SELinux AVC拒绝消息(即使在宽容模式下),可能会导致日志文件填满,使系统无法使用。虽然更好的方法是为应用程序需要访问的文件设置正确的安全上下文,但禁用SELinux是更快的解决方法。
在禁用SELinux之前,需要考虑是否以后可能会再次启用它。如果决定在以后将其设置为强制或宽容模式,下次重启系统时,系统将在启动前自动进行SELinux文件重新标记。
操作步骤:如果只需要关闭SELinux,编辑配置文件
/etc/selinux/config
,将文本
SELINUX=
改为
SELINUX=disabled
。系统重启后,SELinux将被禁用。
6.2 宽容模式
在宽容模式下,SELinux开启,但不强制执行安全策略规则。当安全策略规则应拒绝访问时,仍然允许访问,但会向日志文件发送一条消息,表明访问本应被拒绝。
宽容模式用于以下情况:
- 审核当前的SELinux策略规则。
- 测试新应用程序,以了解SELinux策略规则将对它们产生的影响。
- 测试新的SELinux策略规则,以了解新规则将对当前服务和应用程序产生的影响。
- 排查为什么特定服务或应用程序在SELinux下不再正常工作。
在某些情况下,可以使用
audit2allow
命令读取SELinux审计日志,并生成新的SELinux规则,以有选择地允许被拒绝的操作。这是一种在不禁用SELinux的情况下让应用程序在Linux系统上正常工作的快速方法。
6.3 强制模式
强制模式如其名,SELinux开启,并且所有安全策略规则都被强制执行。
7. 理解SELinux安全上下文
SELinux安全上下文是对对象(如文件)和主体(如用户和程序)进行分类的方法。定义的安全上下文允许SELinux为访问对象的主体强制执行策略规则。安全上下文由四个属性组成:用户、角色、类型和级别。
| 属性 | 说明 |
|---|---|
| 用户(User) |
是Linux用户名到SELinux名称的映射,与用户的登录名不同,SELinux用户名以
u
结尾。在默认的目标策略中,普通非受限用户具有
unconfined_u
用户属性。
|
| 角色(Role) |
公司中指定的角色映射到SELinux角色名称,角色属性被分配给各种主体和对象。每个角色根据其安全许可和对象的分类级别被授予对其他主体和对象的访问权限。SELinux角色名称以
r
结尾。在目标SELinux系统中,由root用户运行的进程具有
system_r
角色,而普通用户在
unconfined_r
角色下运行。
|
| 类型(Type) |
为进程定义域类型,为用户定义用户类型,为文件定义文件类型,也称为安全类型。大多数策略规则关注进程的安全类型以及该进程可以访问的文件、端口、设备和系统的其他元素(基于它们的安全类型)。SELinux类型名称以
t
结尾。
|
| 级别(Level) |
是多级安全(MLS)的一个属性,强制执行Bell - LaPadula模型。在类型强制(TE)中是可选的,但在使用MLS时是必需的。MLS级别是敏感性和类别值的组合,共同构成安全级别,以
sensitivity:category
的形式书写。
|
以下是查看不同主体安全上下文的示例:
用户安全上下文
:使用
id
命令查看SELinux用户上下文,例如用户
johndoe
的安全上下文:
$ id
uid=1000(johndoe) gid=1000(johndoe) groups=1000(johndoe)
context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
文件安全上下文
:使用
ls -Z
命令查看文件的安全上下文,例如文件
my_stuff
:
$ ls -Z my_stuff
-rw-rw-r--. johndoe johndoe
unconfined_u:object_r:user_home_t:s0 my_stuff
进程安全上下文
:使用
ps -eZ
命令查看进程的安全上下文,例如查找运行
bash
shell的进程:
# ps -eZ | grep bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 1589 pts/0
00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 5289 pts/1
00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 5350 pts/1
00:00:00 bash
这些安全上下文可以根据组织的特定安全需求进行更改。但在学习如何更改这些安全上下文的设置之前,需要了解SELinux的策略类型。
8. 理解SELinux策略类型
选择的策略类型直接决定了使用哪些策略规则集来规定对象可以访问的内容,也决定了需要哪些特定的安全上下文属性。这就是可以通过SELinux实现精细访问控制的地方。
SELinux有以下几种策略可供选择:
- 目标策略(Targeted)
- 多级安全策略(MLS)
- 最小策略(Minimum)
每种策略都实现不同的访问控制,以满足组织的需求。理解这些策略类型对于为特定的安全要求选择正确的策略至关重要。
8.1 目标策略
目标策略的主要目的是限制“目标”守护进程,但也可以限制其他进程和用户。目标守护进程被沙盒化,沙盒是一个程序可以运行但对其他对象的访问受到严格控制的环境。运行在这种环境中的进程被称为“沙盒化”进程。因此,目标守护进程受到限制,通过它们发起的任何恶意攻击都不会影响其他服务或整个Linux系统。目标守护进程使共享打印服务器、文件服务器、Web服务器或其他服务更加安全,同时限制了访问这些服务对系统上其他资产造成的风险。
所有未被目标的主体和对象都在
unconfined_t
域中运行,该域没有SELinux策略限制,因此仅使用“传统”的Linux安全机制。SELinux默认设置为目标策略,因此默认情况下,SELinux仅针对少数守护进程。
8.2 MLS(多级安全)策略
MLS策略的主要目的是强制执行Bell - LaPadula模型。它根据角色的安全许可和对象的分类级别授予对其他主体和对象的访问权限。在MLS策略中,安全上下文的MLS属性至关重要,否则策略规则将不知道如何执行访问限制。
8.3 最小策略
最小策略如其名,是最小化的。它最初是为低内存机器或设备(如智能手机)创建的。最小策略本质上与目标策略相同,但仅使用基本的策略规则包。这种“精简”策略可用于测试SELinux对单个指定守护进程的影响。对于低内存设备,最小策略允许SELinux在不消耗大量资源的情况下运行。
9. 理解SELinux策略规则包
策略规则(也称为允许规则)是SELinux用于确定主体是否可以访问对象的规则。策略规则随SELinux一起安装,并分组为包(也称为模块)。
在Linux系统上,有关于这些各种策略模块的用户文档,以HTML文件的形式存在。在Fedora或RHEL上,打开系统浏览器并输入以下URL来查看文档:
file:///usr/share/doc/selinux - policy/html/index.html
;在Ubuntu上,URL是
file:///usr/share/doc/
。
以下是SELinux相关操作的mermaid流程图:
graph TD;
A[开始] --> B{选择SELinux操作模式};
B --> C[禁用模式];
B --> D[宽容模式];
B --> E[强制模式];
C --> F[编辑配置文件 /etc/selinux/config];
F --> G[将SELINUX=改为SELINUX=disabled];
G --> H[重启系统];
D --> I[进行审计、测试等操作];
E --> J[严格执行安全策略规则];
综上所述,SELinux通过多种方式为Linux系统提供了强大的安全增强功能。通过合理选择操作模式、安全上下文、策略类型和策略规则包,可以根据不同的安全需求对Linux系统进行精细的安全配置。
利用SELinux增强Linux安全性
10. 策略规则包的管理与应用
策略规则包在SELinux中起着关键作用,它们定义了主体对对象的访问权限。这些规则包以模块的形式存在,并且可以根据系统的具体需求进行管理和应用。
10.1 查看策略规则包文档
在不同的Linux发行版中,可以通过特定的URL查看策略规则包的用户文档。具体操作如下:
-
Fedora或RHEL
:打开系统浏览器,输入
file:///usr/share/doc/selinux - policy/html/index.html
。
-
Ubuntu
:打开系统浏览器,输入
file:///usr/share/doc/
(文档路径可能需要进一步补充完整)。
10.2 策略规则包的更新与维护
策略规则包需要定期更新以适应新的安全需求和漏洞修复。通常,系统更新会包含SELinux策略规则包的更新。在更新过程中,需要注意以下几点:
-
备份现有策略
:在更新之前,备份当前的SELinux策略规则包,以防更新出现问题。
-
测试更新效果
:在生产环境更新之前,先在测试环境中进行更新测试,确保新的策略规则不会影响系统的正常运行。
11. SELinux的实际应用案例
为了更好地理解SELinux的实际应用,下面通过几个具体案例进行说明。
11.1 Web服务器安全强化
假设我们有一个运行httpd服务的Web服务器。在传统的Linux安全机制下,httpd可能存在安全风险。通过SELinux的配置,可以增强其安全性。
步骤如下
:
1.
设置SELinux为强制模式
:编辑
/etc/selinux/config
文件,将
SELINUX=
改为
SELINUX=enforcing
,然后重启系统。
2.
配置目标策略
:由于SELinux默认使用目标策略,确保httpd服务在目标策略的限制范围内。httpd只能监听SELinux允许的端口,访问具有正确安全上下文的文件。
3.
检查安全上下文
:使用
ls -Z
命令检查httpd相关文件的安全上下文,确保其符合策略规则。例如:
$ ls -Z /var/www/html
-rw-r--r--. root root system_u:object_r:httpd_sys_content_t:s0 index.html
11.2 数据库服务器安全保护
对于数据库服务器,如MySQL,也可以利用SELinux进行安全保护。
步骤如下
:
1.
启用SELinux
:将SELinux设置为强制模式。
2.
配置策略规则
:确保MySQL服务在SELinux的控制下运行。可以通过修改SELinux策略规则来限制MySQL的访问权限,例如只允许其访问特定的文件和端口。
3.
监控日志
:定期查看SELinux日志,检查是否有异常的访问拒绝信息。可以使用
ausearch
命令来搜索相关日志:
$ ausearch -m avc -ts today
12. SELinux的常见问题与解决方法
在使用SELinux的过程中,可能会遇到一些常见问题,下面介绍一些解决方法。
12.1 大量AVC拒绝消息
当应用程序生成大量的SELinux AVC拒绝消息时,可能会导致日志文件填满,影响系统性能。
解决方法
:
-
检查应用程序配置
:确保应用程序需要访问的文件和资源具有正确的安全上下文。可以使用
chcon
命令临时更改文件的安全上下文:
$ chcon -t httpd_sys_content_t /path/to/file
-
使用audit2allow生成规则
:如果确定应用程序的访问是合法的,可以使用
audit2allow命令生成新的SELinux规则:
$ audit2allow -i /var/log/audit/audit.log > myrule.te
$ checkmodule -M -m -o myrule.mod myrule.te
$ semodule_package -o myrule.pp -m myrule.mod
$ semodule -i myrule.pp
12.2 服务无法正常启动
有时候,SELinux的策略规则可能会导致某些服务无法正常启动。
解决方法
:
-
查看日志信息
:查看SELinux日志和服务日志,确定拒绝访问的具体原因。
-
调整策略规则
:根据日志信息,调整SELinux策略规则,允许服务访问所需的资源。可以通过修改策略模块或使用布尔值来实现。
13. SELinux的未来发展趋势
随着信息技术的不断发展,SELinux也在不断演进以适应新的安全挑战。以下是一些可能的发展趋势:
13.1 与云环境的集成
随着云计算的普及,SELinux需要更好地与云环境集成,为云服务器和容器提供安全保护。例如,在容器编排系统(如Kubernetes)中,SELinux可以用于隔离不同容器之间的访问权限。
13.2 自动化安全配置
未来,SELinux可能会实现更自动化的安全配置。通过机器学习和人工智能技术,SELinux可以根据系统的行为模式自动调整策略规则,提高安全配置的效率和准确性。
13.3 与其他安全技术的融合
SELinux可能会与其他安全技术(如入侵检测系统、防火墙等)进行更深入的融合,形成更强大的安全防护体系。
14. 总结
SELinux为Linux系统提供了强大的安全增强功能。通过合理选择操作模式、安全上下文、策略类型和策略规则包,可以根据不同的安全需求对Linux系统进行精细的安全配置。在实际应用中,需要注意策略规则的管理和维护,及时解决遇到的问题。同时,关注SELinux的未来发展趋势,以便更好地利用其安全特性保护系统。
以下是SELinux应用流程的mermaid流程图:
graph TD;
A[开始使用SELinux] --> B{选择操作模式};
B --> C[禁用模式];
B --> D[宽容模式];
B --> E[强制模式];
C --> F[使用传统DAC];
D --> G[记录拒绝信息但允许访问];
E --> H[选择策略类型];
H --> I[目标策略];
H --> J[MLS策略];
H --> K[最小策略];
I --> L[限制目标守护进程];
J --> M[强制执行Bell - LaPadula模型];
K --> N[适用于低内存设备];
L --> O[配置安全上下文];
M --> O;
N --> O;
O --> P[应用策略规则包];
P --> Q[监控与维护];
总之,SELinux是Linux系统安全的重要组成部分,通过深入理解和合理应用,可以显著提高系统的安全性和可靠性。
| SELinux元素 | 说明 |
|---|---|
| 操作模式 | 禁用、宽容、强制,不同模式提供不同安全保障 |
| 安全上下文 | 由用户、角色、类型和级别组成,用于分类主体和对象 |
| 策略类型 | 目标、MLS、最小,实现不同访问控制 |
| 策略规则包 | 定义主体对对象的访问权限,以模块形式存在 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
