RHCE 第十三天 SELINUX

selinux

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。

SELinux提供了一种灵活的强制访问控制(MAC)系统，且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限，然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互，安全策略指定如何严格或宽松地进行检查。(权限)

1. 对内核对象和服务的访问控制
2. 对进程初始化，继承和程序执行的访问控制
3. 对文件系统，目录，文件和打开文件描述的访问控制
4. 对端口，信息和网络接口的访问控制

在linux里所有的文件和进程都有一个值，这个值被称为安全值，当我满足或者匹配到这个安全值，那么才能进行访问。

例如：
http默认目录是在/var/www/html当我将这个默认的访问目录更改时你默认创建的 目录对应性另一个安全值，而我们默认访问的就是第一种安全值所以如果开启了selinux则不能访问更改后目录的东西

selinux的作用及权限管理机制

作用

SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

DAC
在没有使用 SELinux 的操作系统中，决定一个资源是否能被访问的因素是：某个资源是否拥有对应用户的权限（读、写、执行）。
只要访问这个资源的进程符合以上的条件就可以被访问。
而最致命问题是，root 用户不受任何管制，系统上任何资源都可以无限制地访问。
这种权限管理机制的主体是用户，也称为自主访问控制（DAC）。

MAC
在使用了 SELinux 的操作系统中，决定一个资源是否能被访问的因素除了上述因素之外，还需要判断每一类进程是否拥有对某一类资源的访问权限。
这样一来，即使进程是以 root 身份运行的，也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。

即使是以 root 身份运行的服务进程，一般也只能访问到它所需要的资源。即使程序出了漏洞，影响范围也只有在其允许访问的资源范围内。安全性大大增加。
这种权限管理机制的主体是进程，也称为强制访问控制（MAC）。

而 MAC 又细分为了两种方式，一种叫类别安全（MCS）模式，另一种叫多级安全（MLS）模式。
下文中的操作均为 MCS 模式。

selinux基本概念

主体（Subject）

可以完全等同于进程。
注：为了方便理解，如无特别说明，以下均把进程视为主体。

对象（Object）

被主体访问的资源。可以是文件、目录、端口、设备等。
注：为了方便理解，如无特别说明，以下均把文件或者目录视为对象。

政策和规则（Policy & Rule）

系统中通常有大量的文件和进程，为了节省时间和开销，通常我们只是选择性地对某些进程进行管制。
而哪些进程需要管制、要怎么管制是由政策决定的。

一套政策里面有多个规则。部分规则可以按照需求启用或禁用（以下把该类型的规则称为布尔型规则）。

规则是模块化、可扩展的。在安装新的应用程序时，应用程序可通过添加新的模块来添加规则。用户也可以手动地增减规则。

在redhat 7 系统中，有三套政策，分别是：
1. targeted：对大部分网络服务进程进行管制。这是系统默认使用的政策（下文均使用此政策）。
2. minimum：以 targeted 为基础，仅对选定的网络服务进程进行管制。一般不用。
3. mls：多级安全保护。对所有的进程进行管制。这是最严格的政策，配置难度非常大。一般不用，除非对安全性有极高的要求。

政策可以在 /etc/selinux/config 中设定。

安全上下文（Security Context）

安全上下文是 SELinux 的核心。
安全上下文我自己把它分为「进程安全上下文」和「文件安全上下文」。
一个「进程安全上下文」一般对应多个「文件安全上下文」。
只有两者的安全上下文对应上了，进程才能访问文件。它们的对应关系由政策中的规则决定。

文件安全上下文由文件创建的位置和创建文件的进程所决定。而且系统有一套默认值，用户也可以对默认值进行设定。
需要注意的是，单纯的移动文件操作并不会改变文件的安全上下文。
安全上下文的结构及含义
安全上下文有四个字段，分别用冒号隔开。形如：

system_u:object_r:admin_home_t:s0。
用户身份：角色：类型（标签）