20170904 SELinux

• SELinux的基本概念
• 设置SELinux

一、SELinux的基本概念

（一）定义：

SELinux：Secure Enhanced Linux，是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

（二）DAC与MAC：

• DAC：Discretionary Access Control 自由访问控制
• MAC：Mandatory Access Control 强制访问控制
• 区别： DAC环境下进程是无束缚的，MAC环境下进程是可以被限制的
• 策略：
  • MAC环境下策略的规则决定控制的严格程度
  • 策略被用来定义被限制的进程能够使用那些资源（文件和端口）
  • 默认情况下，没有被明确允许的行为将被拒绝

（三）SELinux有四种工作类型：

• strict: 每个进程都受到selinux的控制
• targeted: 用来保护常见的网络服务,仅有限进程受到selinux控制，只监控容易被入侵的进程
• minimum：修改的targeted，监控选择的网络服务
• mls:提供MLS（多级安全）机制的安全性
• targeted为默认类型，minimum和mls稳定性不足，未加以应用，strict已不再使用

（四）安全上下文

• 传统Linux：一切皆文件，由用户，组，权限控制访问

• SELinux中：一切皆对象（object），由存放在inode的扩展属性域的安全元素控制其访问

• 安全上下文（security context）：所有文件、端口资源、进程都具备安全标签

  • 安全上下文由五个元素组成： user:role:type:sensitivity:category
  • 实际上下文：存放在文件系统中
    ls -Z ：查看文件的实际安全上下文
    ps -Z：查看进程的实际上下文
  
  • 期望(默认)上下文：存放在二进制的SELinux策略库（映射目录和期望安全上下文）中
    semanage fcontext -l：查看期望安全上下文的策略库

• 安全上下文五个元素详解：

  • User：指示登录系统的用户类型（root,user_u,system_u），多数本地进程都属于自由（unconfined）进程
  • Role：定义文件，进程和用户的用途
    文件：object_r，进程和用户：system_r
  • Type：指定数据类型，规则中定义何种进程类型访问何种文件
    • Target策略基于type实现
    • 多服务共用：public_content_t
  • Sensitivity：限制访问的需要
    • 由组织定义的分层安全级别，如unclassified,secret,top,secret,
    • 一个对象有且只有一个sensitivity，分0-15级
    • s0最低，Target策略默认使用s0
  • Category：对于特定组织划分不分层的分类，如FBI Secret，NSA secret,
    • 一个对象可以有多个categroy，c0-c1023共1024个分类
    • Target 策略不使用category

（五）SELinux策略

• 对象(object)：所有可以读取的对象，包括文件、目录、进程、端口等

• 主体(subject)：进程称为主体

• SELinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义

• 当一个subject试图访问一个object，Kernel中的策略执行服务器将检查AVC (访问矢量缓存Access Vector Cache)，在AVC中，subject和object的权限被缓存(cached)，查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问

• 安全策略：定义主体读取对象的规则数据库，规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的，并且定义了哪种行为是允许或拒绝的

二、设置SELinux

（一）SELinux设置内容

• SELinux是否启用
• 给文件重新打安全标签
• 给端口设置安全标签
• 设定某些操作的布尔型开关
• SELinux的日志管理

（二）SELinux的状态切换

• SELinux的三种状态

  • enforcing：强制，每个受限的进程都必然受限
  • permissive：允许，每个受限的进程违规操作不会被禁止，但会被记录于审计日志
  • disabled：禁用

• 配置命令：

  • getenforce：获取当前SELinux状态
  • sestatus：查看SELinux状态详细信息
  • setenforce 0|1：0指代permissive，1指代enforcing，此命令只在本次开机生效

• 配置文件：

  • /boot/grub/grub.conf
    使用selinux=0禁用SELinux
  • /etc/selinux/config或/etc/sysconfig/selinux（指向/etc/selinux/config的软链接）
    SELINUX={disabled|enforcing|permissive}
  • 修改的配置文件从下一次重启永久有效

（三）修改SELinux的安全标签

• 给文件重新打安全标签：
  chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
  chcon [OPTION]... --reference=RFILE FILE...
  -R：递归打标签

• 恢复目录或文件默认的安全上下文：
  restorecon [-R] /path/to/somewhere

（四）默认安全上下文的查询和修改

• semanage：来自policycoreutils-python包

• 查看默认的安全上下文
  semanage fcontext -l

• 添加安全上下文
  semanage fcontext -a -t httpd_sys_content_t '/testdir(/.*)?'

• 删除安全上下文
  semanage fcontext -d -t httpd_sys_content_t '/testdir(/.*)?'

（五）SELinux端口标签

• 查看端口标签
  semanage port -l

• 添加端口
  semanage port -a -t port_label -p tcp|udp PORT
  e.g. semanage port -a -t http_port_t -p tcp 9527：添加httpd服务端口号9527

• 删除端口
  semanage port -d -t port_label -p tcp|udp PORT
  e.g. semanage port -d -t http_port_t -p tcp 9527：删除httpd服务端口号9527

• 修改现有端口为新标签
  semanage port -m -t port_label -p tcp|udp PORT
  e.g. semanage port -m -t http_port_t -p tcp 9527：将端口9527修改为httpd服务的端口

（六）SELinux布尔值

• 查看bool命令：
  getsebool [-a] [boolean]
  semanage boolean -l
  semanage boolean -l -C：查看修改过的布尔值

• bool值分为状态值和默认值，当前值指内存中的状态，而默认值指硬盘中储存的状态，如下图红框中所示State和Default值

• 设置bool值命令：
  setsebool [-P] boolean value (value=on|off)
  setsebool [-P] boolean=value (value=1|0)

• 默认只会修改state值，而添加-P命令可以一并将default值修改，这样设置重启仍旧生效

（七）SELinux日志管理

• yum install setroubleshoot（重启生效）
  功能：将错误的信息写入/var/log/message
  可以查找错误信息：grep setroubleshoot/var/log/messages

• sealert -l UUID
  查看安全事件日志说明

• sealert -a /var/log/audit/audit.log
  扫描并分析日志

（八）SELinux帮助

• yum -y install selinux-policy-devel (CentOS 7.2)

• yum -y install selinux-policy-doc (CentOS 7.3)

• mandb (CentOS 7) | makewhatis (CentOS 6)

• man -k _selinux