SElinux通过强制访问控制提升Linux安全性,需掌握主体、客体、安全上下文和策略等概念;使用ls -Z和ps -Z查看上下文,通过/etc/selinux/config设置enforcing、permissive或disabled模式,临时切换用setenforce命令;管理文件上下文时可用restorecon恢复或semanage自定义规则;拒绝事件记录在audit.log,可用ausearch、sealert分析,必要时用audit2allow生成自定义策略模块,关键是在enforcing模式下正确配置上下文并及时响应日志。
SELinux(Security-Enhanced Linux)是linux系统中一个强大的强制访问控制(mac)机制,能显著提升系统的安全性。正确配置SELinux可以限制进程和用户对文件、端口、网络等资源的访问,防止越权操作。
理解SELinux的基本概念
在配置之前,需要掌握几个核心概念:
- 主体(Subject):通常是进程或用户,发起对资源的操作请求。
- 客体(Object):被访问的资源,如文件、目录、端口等。
- 安全上下文(Security Context):每个主体和客体都有一个安全标签,格式为user:role:type:level,其中type最重要,决定访问权限。
- 策略(Policy):定义哪些主体可以对哪些客体执行什么操作,常见有targeted(仅保护特定服务)和strict(全面保护)。
使用ls -Z查看文件的安全上下文,用ps -Z查看进程的上下文。
设置SELinux运行模式
SELinux有三种主要模式:
- enforcing:强制执行策略,违反行为会被阻止并记录日志。
- permissive:不执行策略,只记录警告,适合调试。
- disabled:完全关闭SELinux(不推荐)。
通过/etc/selinux/config文件设置默认模式:
SELINUX=enforcing SELINUXTYPE=targeted
临时切换模式可用命令:
-
setenforce 1→ 切换到enforcing -
setenforce 0→ 切换到permissive
注意:setenforce 0不会将SELinux设为永久禁用,只是临时进入permissive模式。
管理文件安全上下文
当添加新文件或更改服务路径时,SELinux可能因上下文不匹配而阻止访问。例如,将Web内容放在非标准目录时apache无法读取。
解决方法是恢复或设置正确的上下文:
-
restorecon -v /path/to/file:根据默认规则恢复上下文。 -
semanage fcontext -a -t httpd_sys_content_t "/webdata(/.*)?":为自定义路径添加上下文规则。 -
restorecon -R /webdata:应用新规则。
确保已安装policycoreutils-python-utils包以使用semanage命令。
处理拒绝事件与日志分析
当SELinux阻止操作时,会记录日志到/var/log/audit/audit.log或/var/log/messages。
使用以下工具分析拒绝原因:
-
ausearch -m avc -ts recent:查找最近的拒绝消息。 -
sealert -l *:显示人类可读的解释和修复建议。
如果确认某个拒绝是误报且需放行,可用audit2allow生成自定义策略模块:
# ausearch -m avc -ts recent | audit2allow -M mypol # semodule -i mypol.pp
此方法适用于特殊场景,但应谨慎使用,避免削弱安全性。
基本上就这些。合理配置SELinux不需要完全理解所有细节,关键是保持enforcing模式,正确设置上下文,及时查看日志并做出响应。安全性和可用性可以兼顾。