Linux（15）：SELinux 初探

什么是 SELinux

SELinux 是【Security Enhanced Linux】的缩写，字面上的意义就是安全强化的 Linux。

SELinux 是由美国国家安全局(NSA)开发的，开发原因：因为很多企业界发现，通常系统出现问题的原因大部分都在于【内部员工的资源误用】所导致的，实际由外部发动的攻击反而没有这么严重。

为了控管这方面的权限与进程的问题，所以美国国家安全局就着手处理操作系统这方面的控管。由于 Linux 是自由软件，程序代码都是公开的，因此她们便使用Linux来作为研究的目标，最后更将研究的结果整合到 Linux 核心里面去，那就是SELinux。
所以说，SELinux 是整合到核心的一个模块。
这也就是说：其实SELinux是在进行进程、文件等细部权限设定依据的一个核心模块。

传统的文件权限与账号关系：自主式访问控制, DAC

系统的账号主要分为系统管理员(root)与一般用户，而这两种身份能否使用系统上面的文件资源则与 rwx 的权限设定有关。不过要注意的是，各种权限设定对 root 是无效的。
因此，当某个进程想要对文件进行存取时，系统就会根据该进程的拥有者/群组，并比对文件的权限，若通过权限检查，就可以存取该文件了。这种存取文件系统的方式被称为【自主式访问控制(Discretionary Access Control, DAC)】，基本上，就是依据进程的拥有者与文件资源的 rwx 权限来决定有无存取的能力。
这种 DAC的访问控制有几个困扰，那就是:
1.root 具有最高的权限：如果不小心某支进程被有心人士取得，且该进程属于root 的权限，那么这支进程就可以在系统上进行任何资源的存取；
2.使用者可以取得进程来变更文件资源的访问权限：如果不小心将某个目录的权限设定为777，由于对任何人的权限会变成 rwx ，因此该目录就会被任何人所任意存取；

因此 SELinux 导入了委任式访问控制(Mandatory Access Control, MAC)。
委任式访问控制(MAC) 可以针对特定的进程与特定的文件资源来进行权限的控管。也就是说，即使是root ，那么在使用不同的进程时，所能取得的权限并不一定是 root，而得要看当时该进程的设定而定。
如此一来，针对控制的【主体】变成了【进程】而不是使用者。此外，这个主体进程也不能任意使用系统文件资源，因为每个文件资源也有针对该主体进程设定可取用的权限。
如此一来，控件目就细的多了，但整个系统进程那么多、文件那么多，一项一项控制可就没完没了，所以SELinux也提供一些预设的政策(Policy)，并在该政策内提供多个规则(rule)，可以选择是否启用该控制规则。

简单的来说，针对 Apache 这个 WWW 网络服务使用DAC或 MAC 的结果来说，两者间的关系：
在这里插入图片描述左图是没有 SELinux 的 DAC 存取结果，apache 这只 root 所主导的进程，可以在这三个目录内作任何文件的新建与修改；右边则是加上 SELinux 的 MAC管理的结果，SELinux 仅会针对 Apache 这个【process】放行部份的目录，其他的非正规目录就不会放行给 Apache 使用。因此不管是谁，都不能穿透MAC的框框。

SELinux 的运作模式

SELinux 是透过 MAC 的方式来控管进程，控制的主体是进程，而目标则是该进程能否读取的【文件资源】。
主体(Subject)：
SELinux 主要想要管理的就是进程，因此可以将【主体】跟谈到的 process 划上等号；
目标(Object)：
主体进程能否存取的【目标资源】一般就是文件系统。因此这个目标项目可以等文件系统划上等号；
政策(Policy)：
由于进程与文件数量庞大，因此 SELinux 会依据某些服务来制订基本的存取安全性政策。这些政策内还会有详细的规则(rule)来指定不同的服务开放某些资源的存取与否。
在 CentOS 7.x 里面仅有提供三个主要的政策，分别是：
targeted：针对网络服务限制较多，针对本机限制较少，是预设的政策；
minimum：由 target 修订而来，仅针对选择的进程来保护；
mls：完整的 SELinux 限制，限制方面较为严格。
建议使用预设的 targeted 政策即可。
安全性本文(security context)：
主体能不能存取目标除了政策指定之外，主体与目标的安全性本文必须一致才能够顺利存取。这个安全性本文(security context)有点类似文件系统的 rwx，安全性本文的内容与设定是非常重要的，如果设定错误，某些服务(主体进程)就无法存取文件系统(目标资源)，就会一直出现【权限不符】的错误讯息。
在这里插入图片描述上图的重点在【主体】如何取得【目标】的资源访问权限。
(1)主体进程必须要通过 SELinux 政策内的规则放行后，就可以与目标资源进行安全性本文的比对；
(2)若比对失败则无法存取目标，若比对成功则可以开始存取目标。
最终能否存取目标还是与文件系统的 rwx 权限设定有关了。

安全性文本

CentOS 7.x 的 target 政策已经制订好非常多的规则了，因此只要知道如何开启/关闭某项规则的放行与否即可。这个安全性本文比较麻烦，因为可能需要自行配置文件案的安全性本文。

安全性本文存在于主体进程中与目标文件资源中。进程在内存内，所以安全性本文可以存入是没问题。
安全性本文是放置到文件的 inode 内的，因此主体进程想要读取目标文件资源时，同样需要读取 inode，这 inode 内就可以比对安全性本文以及rwx等权限值是否正确，而给予适当的读取权限依据。

安全性本文可使用【ls -Z】去观察（开启了 SELinux 才可以）
在这里插入图片描述
安全性本文主要用冒号分为三个字段，这三个字段的意义为：Identify:role:type (身份识别：角色：类型)

身份识别(ldentify)：
相当于账号方面的身份识别，主要的身份识别常见有底下几种常见的类型:
unconfined_u：不受限的用户，也就是说，该文件来自于不受限的进程所产生的。
一般来说，使用可登入账号来取得 bash 之后，预设的 bash环境是不受 SELinux 管制的，因为 bash 并不是什么特别的网络服务。因此，在这个不受 SELinux 所限制的 bash 进程所产生的文件，其身份识别大多就是 unconfined_u 这个【不受限】用户。
system_u：系统用户，大部分就是系统自己产生的文件。
基本上，如果是系统或软件本身所提供的文件，大多就是 system_u这个身份名称，而如果是用户透过 bash 自己建立的文件，大多则是不受限的 unconfined_u 身份。如果是网络服务所产生的文件，或者是系统服务运作过程产生的文件，则大部分的识别就会是 system _u。
角色(Role)：
透过角色字段，可以知道这个资料是属于进程、文件资源还是代表使用者。一般的角色有：
object_r：代表的是文件或目录等文件资源，这应该是最常见的；
system_r：代表的就是进程。不过，一般使用者也会被指定成为system_r ；
角色的字段最后面使用【_r】来结尾，因为是role 的意思。
类型(Type)(最重要!)：
在预设的 targeted 政策中，Identify 与 Role 字段基本上是不重要的。重要的在于这个类型(type)字段，基本上，一个主体进程能不能读取到这个文件资源，与类型字段有关。而类型字段在文件与进程的定义不太相同，分别是：
type：在文件资源(Object)上面称为类型(Type)；
domain：在主体进程(Subject)则称为领域(domain)；
domain 需要与 type 搭配，则该进程才能够顺利的读取文件资源。

进程与文件 SELinux type 字段的相关性

目前系统中的进程在 SELinux 底下的安全本文：
在这里插入图片描述
基本上，这些对应资料在 targeted 政策下的对应如下：
在预设的 target 政策下，其实最重要的字段是类型字段(type)，主体与目标之间是否具有可以读写的权限，与进程的domain及文件的 type有关。
这两者的关系可以使用crond以及他的配置文件来说明：亦即是/usr/sbin/crond, /etc/crontab, /etc/cron.d 等文件来说明。
在这里插入图片描述当执行 /usr/sbin/crond 之后，这个程序变成的进程的 domain 类型会是 crond_t 这一个~而这个crond_t 能够读取的配置文件则为 system_cron_spool_t 这种的类型。因此不论 /etc/crontab, /etc/cron.d 以及 /var/spool/cron 都会是相关的SELinux类型(/var/spool/cron 为 user_cron_spool_t)。
在这里插入图片描述 1.首先，触发一个可执行的目标文件，那就是具有 crond_exec_t 这个类型的 /usr/sbin/crond 文件；
2.该文件的类型会让这个文件所造成的主体进程(Subject)具有 crond 这个领域(domain)，政策针对这个领域已经制定了许多规则，其中包括这个领域可以读取的目标资源类型；
3.由于 crond domain 被设定为可以读取 system_cron_spool_t 这个类型的目标文件(Object)，因此配置文件放到/etc/cron.d/目录下，就能够被crond 那支进程所读取了；
4.但最终能不能读到正确的资料，还得要看 rwx 是否符合 Linux 权限的规范。

SELinux 三种模式的启动、关闭与关闭

并非所有的 Linux distributions 都支持 SELinux 的。
CentOS 7.x 本身就支持 SELinux。目前 SELinux 依据启动与否，共有三种模式，分别如下：
enforcing：强制模式，代表SELinux运作中，且已经正确的开始限制domain/type了；
permissive：宽容模式：代表SELinux运作中，不过仅会有警告讯息并不会实际限制domain/type的存取。这种模式可以运来作为SELinux 的debug 之用；
disabled：关闭，SELinux并没有实际运作。

在这里插入图片描述
并不是所有的进程都会被 SELinux 所管制，因此最左边会出现一个所谓的【有受限的进程主体】。
ps -eZ 可以去【观察有没有受限】

三种模式的运作：首先，如果是 Disabled 的模式，那么 SELinux 将不会运作，当然受限的进程也不会经过SELinux，也是直接去判断 rwx 而已；如果是宽容(permissive)模式是不会将主体进程抵挡（所以箭头是可以直接穿透的喔! )，不过万一没有通过政策规则，或者是安全本文的比对时，那么该读写动作将会被纪录起来(log)，可作为未来检查问题的判断依据。

getenforce 可以知道目前的 SELinux 模式：
在这里插入图片描述

可以使用 sestatus 来观察 SELinux 的政策：

sestatus [-vb]

在这里插入图片描述

SELinux 的配置文件：

vim /etc/selinux/config

在这里插入图片描述

SELinux 的启动关闭

如果改变了政策则需要重新启动；如果由 enforcing 或 permissive 改成 disabled，或由 disabled 改成其他两个，也必须要重新启动。
因为 SELinux 是整合到核心里面去的，只可以在 SELinux 运作下切换成为强制(enforcing)或宽容(permissive)模式，不能够直接关闭 SELinux。如果刚刚发现 getenforce 出现 disabled 时，到 /etc/selinux/config 修改成为 enforcing 然后重新启动。

如果从 disable 转到启动 SELinux 的模式时，由于系统必须要针对文件写入安全性本文的信息，因此开机过程会花费不少时间在等待重新写入SELinux安全性本文(有时也称为SELinux Label)，而且在写完之后还得要再次的重新启动一次。

如果已经在 Enforcing 的模式，但是可能由于一些设定的问题导致 SELinux 让某些服务无法正常的运作，此时可以将 Enforcing 的模式改为宽容(permissive)的模式，让 SELinux 只会警告无法顺利联机的讯息，而不是直接抵挡主体进程的读取权限。

让 SELinux 模式在 enforcing 与 permissive 之间切换的方法为：

setenforce [0|1]
# 0: 转成 permissive 宽容模式；
# 1：转成 enforcing 强制模式；

在某些特殊的情况底下，从 Disabled 切换成 Enforcing 之后，有一堆服务无法顺利启动，都会说在 /lib/xxx 里面的数据没有权限读取，所以启动失败。这大多是由于在重新写入 SELinux type(Relabel) 出错之故，使用 Permissive 就没有这个错误。
最简单的方法就是在 Permissive 的状态下，使用【restorecon -Rv/】重新还原所有 SELinux 的类型，就能够处理这个错误。

SELinux 政策内的规则管理

SELinux 的三种模式是会影响到主体进程的放行与否。如果是进入 Enforcing 模式，那么接着下来会影响到主体进程的，就是target政策内的各项规则(rules)。

SELinux 各个规则的布尔值查询 gatebool

如果想要查询系统上面全部规则的启动与否 (on/off，亦即布尔值)，透过 sestatus -b 或 getsebool -a 均可。

getsebool [-a] [规则的名称]
# -n:列出目前系统上面的所有 SELinux 规则的布尔值为开启或关闭值

每个规则后面都列出现在是允许放行还是不许放行的布尔值。

SELinux 各个规则规范的主体进程能够读取的文件 SELinux type 查询 seinfo, sesearch

seinfo 可以查看每个规则内到底是在限制。

seinfo [-Artub]

在这里插入图片描述

如果想要查询目前所有的身份识别与角色，就使用【seinfo -u】及【seinfo -r】就可以知道了，简单的统计数据，就直接输入seinfo即可。

sesearch [-A] [-s 主体类别] [-t 目标类别] [-b 布尔值]

在这里插入图片描述

# 找出 crond_t 这个主体进程能够读取的文件 SELinux type
sesearch -A -s crond_t | grep spool

修改 SELinux 规则的布尔值 setsebool

setsebool [-P] [规则名称] [0|1]
# -P:直接将设定值写入配置文件，该设定数据未来会生效
getsebool [规则名称] # 输出设定值（bool）

SELinux 安全文本的修改

SELinux对受限的主体进程有没有影响，首先考虑 SELinux 的三种类型，第二考虑 SELinux 的政策规则是否放行，第三则是考虑开始比对SELinuxtype 。

使用 chcon 手动修改文件的 SELinux type

chcon [-R] [-t type] [-u user] [-r role] 文件
chcon [-R] --reference=范例文件 文件

在这里插入图片描述

使用 restorecon 让文件恢复正确的 SELinux type

restorecon [-Rv] 文件或目录
# -R：连同此目录一起修改；
# -v：将过程显示到屏幕上

restorecon主动的回复预设的 SELinux type，而且可以一口气恢复整个目录下的文件。

semanage 默认目录的安全性本文查询与修改

restorecon可以【恢复】原本的SELinux type 的原因是有个地方在纪录每个文件/目录的SELinux默认类型。
透过 semanage可以(1)查询预设的 SELinuxtype 以及(2)增加/修改/删除预设的 SELinux type。

semanage {login|user|port|interface|fcontext|translation} -l
semanage fcontext -{a|d|m} [-frst] file_spec

在这里插入图片描述

还有挺多没学

。。。。这个感觉不好学。。

《鸟哥的Linux私房菜-基础篇》学习笔记