SElinux

SElinux

1.介紹：

• SELinux: Secure Enhanced Linux，是美國國家安全局「NSA=The National Security Agency」和SCC（Secure Computing Corporation）開發的Linux的一個強制訪問控制的安全模塊。2000年以GNU GPL發布，Linux內核2.6版本后集成在內核中

• DAC：Discretionary Access Control自由訪問控制

• MAC：Mandatory Access Control 強制訪問控制

        DAC環境下進程是無束縛的

        MAC環境下策略的規則決定控制的嚴格程度

        MAC環境下進程可以被限制的

        策略被用來定義被限制的進程能夠使用那些資源（文件和端口）

        默認情況下，沒有被明確允許的行為將被拒絕

2.SELinux有四種工作類型：

• strict: 每個進程都受到selinux的控制；

• targeted: 用來保護常見的網絡服務,僅有限進程受到selinux控制，只監控容易被入侵的進程；rhel4只保護13個服務，rhel5保護88個服務；

• minimum：centos7,修改過的targeted，只對選擇的網絡服務；

• mls:提供MLS（多級安全）機制的安全性；

   注意：minimum和mls穩定性不足，未加以應用

3.SElinux的安全上下文

• 傳統Linux，一切皆文件，由用戶，組，權限控制訪問

• 在SELinux中，一切皆對象，由存放在Inode的擴展屬性域的安全元素所控制其訪問。

• 所有文件和端口資源和進程都具備安全標簽：安全上下文”（security context）

• 安全上下文有五個元素組成：

          user:role:type:sensitivity:category

          user_u:object_r:tmp_t:s0:c0

          實際上下文：存放在文件系統中，ls –Z;ps–Z

• 期望(默認)上下文：存放在二進制的SELinux策略庫（映射目錄和期望安全上下文）中semanagefcontext–l

4.五個安全因素：

SElinux 為每個文件提供了安全標簽，也為進程提供了安全標簽；

• User:指示登錄系統的用戶類型,如root，user_u,system_u，多數本地進程都屬于自由（unconfined）進程；

• Role:定義文件，進程和用戶的用途：文件:object_r，進程和用戶：system_r

• Type:指定數據類型，規則中定義何種進程類型訪問何種文件Target策略基于type實現,多服務共用：public_content_t

• Sensitivity:限制訪問的需要，由組織定義的分層安全級別，如unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級，s0最低,Target策略默認使用s0

• Category：對于特定組織劃分不分層的分類，如FBI Secret，NSA secret, 一個對象可以有多個categroy，c0-c1023共1024個分類，Target 策略不使用cateaory

5.SElinux的安全策略：

那種域能訪問哪種或者哪些種類型的文件

• 對象(object)：所有可以讀取的對象，包括文件、目錄和進程，端口等

• 主體：進程稱為主體(subject)

• SELinux中對所有的文件都賦予一個type的文件類型標簽，對于所有的進程也賦予各自的一個domain的標簽。Domain標簽能夠執行的操作由安全策略里定義。

• 當一個subject試圖訪問一個object，Kernel中的策略執行服務器將檢查AVC (訪問矢量緩存Access Vector Cache), 在AVC中，subject和object的權限被緩存(cached)，查找“應用+文件”的安全環境。然后根據查詢結果允許或拒絕訪問

• 安全策略：定義主體讀取對象的規則數據庫，規則中記錄了哪個類型的主體使用哪個方法讀取哪一個對象是允許還是拒絕的，并且定義了哪種行為是充許或拒絕

6.設置SElinux

• SELinux是否啟用；

• 給文件重新打安全標簽；

• 給端口設置安全標簽；

• 設定某些操作的布爾型開關；

• SELinux的日志管理；

7.SElinux的狀態

• enforcing: 強制，每個受限的進程都必然受限；

• permissive: 允許，每個受限的進程違規操作不會被禁止，但會被記錄于審計日志；

• disabled: 禁用

8.相關命令和配置文件

• 相關命令：

       getenforce: 獲取selinux當前狀態

       sestatus:查看selinux狀態

       setenforce0|1

            0: 設置為 permissive

            1: 設置為 enforcing

              此設定：重啟系統后無效

• 配置文件

           /boot/grub/grub.conf，使用selinux=0禁用SELinux

        /etc/sysconfig/selinux

        /etc/selinux/config

        SELINUX={disabled|enforcing|permissive}

           修改配置文件之后一定要重新啟動，才能生效

• 給文件重新打標簽

       chcon

            chcon[OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE...

          chcon[OPTION]… –reference=RFILE FILE…

          -R：遞歸打標；

• 還原文件的默認標簽：

        restorecon 

               restorecon[-R] /path/to/somewhere

[root@centos7 ~]# getenforce  # 查看狀態
Disabled
[root@centos7 ~]# cat /etc/selinux/config  # 配置文件

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled  # 修改配置文件之后一定要重新啟動
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

9.SElinux布爾型規則

• 布爾型規則

        getsebool

        setsebool

• 查看bool值命令：

        getsebool[-a] [boolean]

        semanageboolean–l

        semanageboolean-l –C 查看修改過的布爾值

• 設置bool值命令：

        setsebool[-P] booleanvalue

        setsebool[-P] Boolean=value

總結：

  SElinux是RedHat/CentOS系統特有的安全機制。因為這種機制的限制太多，配置也特別繁瑣，所以沒有人真正應用它。安裝完系統，我們一般吧selinux關閉，以免引起不必要的麻煩。