SELinux

軟件的安全性

• 提高軟件的安全性
  • 選擇安全系數較高的系統
    提高現有系統的安全性
• 計算機的安全等級
  D：最低的安全級別，提供最少的安全防護，系統訪問無限制。DOS
  C：訪問控制的權限，能夠實現可控的安全防護，個人賬戶管理，審計和資源隔離 Unix Linux windowNT
  B：支持多級安全，通過硬件對安全數據進行保護
  A：最高級別，提供驗證設計，要求數據從生產到傳輸都能夠實現狀態跟蹤

訪問控制：

• 基本要素：

  主體：主動的實體，用戶、服務、進程等
  客體: 被動的實體，包括數據、文件等
  規則：主體對客體訪問的策略集合

• 基本類型：

  • DAC訪問控制：自主訪問控制
    通過權限列表（訪問控制列表）來限定特定主體對特定客體可以執行什么操作。
    • 特點：
      1、每個主體都擁有一個用戶名或組來獲取操作權限
      2、每個客體都擁有一個限定主體對其訪問的訪問控制列表
      3、訪問時，基于訪問控制列表檢查主體用戶標示以實現授權或拒絕。
  • MAC訪問控制：強制訪問控制（selinux）
    • 特點：
      1、主體被分配一個安全等級
      2、客體被分配一個安全等級
      3、訪問時，對主體和客體的安全級別進行對比，最終獲得授權或拒絕。

selinux

• 格式：subject operation object
  subject: 進程
  object: 進程 文件
  operation：操作
  文件：open、close、read、write、chown、chmod

  • 生效條件：
    1、SELinux是否生效，取決于subject和object是否處于同一個操作空間
    2、操作類型必須滿足條件

• SELinux為每個文件提供了安全標簽，也為進程提供了安全標簽；

  • 查看標簽：
    查看文件安全標簽（安全上下文）：ls -lZ
    查看進程安全標簽：ps auxZ
  • user：role：type
    • user：SELinu的user
      role：角色
      type：文件稱為類型，進程稱為域

• SELinux規則庫：
  規則：哪種域能訪問哪種或哪些種類型內文件；

• SELinux的工作模式：
  strict（嚴格模式）：每個進程都會受到Selinux的控制
  targeted（寬松模式）：僅對部分進程啟用selinux的控制

• 配置SELinux：

  • SELinux是否啟用；
    給文件重新打標簽；
    設定某些布型特性；

  • selinux的狀態：

    • enforcing：強制，每個受限的進程都必然受限；
      permissive：警告級別，不阻止訪問，但會記錄日志；日志文件：/var/log/audit/audit.log
      disabled：禁用

    • 臨時啟動：僅當前有效

      • getenforce 查看當前SELinux狀態
      • setenforce 0|1
        • 0：設置SELinux為permissive
          1：設置SELinux為enforcing

    • 配置文件：/etc/sysconfig/selinux /etc/selinux/config
      永久有效，修改配置文件：SELinux={disabled | permissive | enforcing}

  • 修改安全標簽：文件默認為所在目錄的標簽；

    • chcon 修改安全標簽
      chcon [OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE…
      -u 用戶
      -r 角色
      -t 類型（文件稱為類型，進程稱為域）
      -R 遞歸打標；

    • 還原文件的默認標簽
      restorecon [-R] /path/to/somewhere

  • 修改布爾值
    添加/刪除進程或服務本身開啟的功能模塊

    • 查看布爾值：getsebool [-a] [boolean]
      -a ：查看所有布爾值

    • 修改布爾值：setsebool [-P] boolean [ on/off | 1/0 ]
      -P ：將修改結果保存進本地磁盤