从原理到实践：深入探索Linux安全机制（一，从青铜到王者的路线

作者：笔触狂放9 | 2024-05-27 09:24:39

踩

安全策略：

SELinux 使用安全策略来定义系统资源和对象之间的访问规则。这些安全策略由 SELinux 策略库（Policy）管理，其中包括了对文件、进程、网络端口等各种资源的访问规则定义，以及用户角色和安全上下文等信息。

安全上下文：

在 SELinux 中，每个对象（如文件、进程）都有一个安全上下文，用于描述该对象的安全属性。安全上下文由标签表示，包括了对象的类型（Type）、角色（Role）和用户（User）等信息。这些安全上下文决定了对象可以执行的操作和被允许的访问权限。

强制访问控制：

SELinux 引入了强制访问控制（MAC），通过强制执行安全策略来限制系统资源的访问。即使用户具有足够的权限（如 root），也无法绕过 SELinux 对资源的访问控制。这种强制控制确保了系统的安全性，减少了恶意软件和攻击的影响范围。

安全上下文转换：

当进程或程序尝试访问某个资源时，SELinux 会根据安全上下文进行访问权限的检查。如果需要访问的资源与进程的安全上下文不匹配，SELinux 可能会进行安全上下文的转换，以确保访问的合法性。

日志和审计：

SELinux 提供了完善的日志和审计功能，可以记录系统中发生的安全事件和违反安全策略的行为。这些日志信息对于系统管理员来说是非常有价值的，可以帮助其监控系统的安全状况，并及时采取措施应对潜在的安全威胁。

以我个人经验来看，在日常工作来说，SELinux的安全策略管理是一个非常重要的地方，之前在搭建vsftp服务的时候，遇到的问题就是vsftp的配置正常，但是无法实现匿名用户的访问、文件上传，经过排查发现原因是SELinux的安全策略中，允许匿名用户写入的权限是关闭的，后来把这个权限打开，问题迎刃而解。因此，我觉得，如果能够掌握SELinux安全策略的基本管理，还是比较实用的。这里就给大家分享一下SELinux安全策略管理常用工具和命令的用法：

1、sestatus

sestatus命令可以查看当前 SELinux 的状态和基本信息，包括是否启用、当前模式等。

sestatus

sestatus输出信息的解读：

ELinux status: enabled

SELinux 状态为启用，这表示 SELinux 安全模块已经启用并正在系统中运行。

SELinuxfs mount: /sys/fs/selinux

SELinux 文件系统挂载点的路径为 /sys/fs/selinux，这是 SELinux 内核文件系统所在的路径。

SELinux root directory: /etc/selinux

SELinux 根目录的路径为 /etc/selinux，这是 SELinux 配置文件等相关文件存放的位置。

Loaded policy name: targeted

加载的策略名称为 targeted，这表示系统当前使用的是针对特定应用的 SELinux 策略。

Current mode: enforcing

当前 SELinux 模式为强制执行（enforcing），这意味着 SELinux 将强制执行安全策略，对违反规则的操作进行限制。

Mode from config file: enforcing

从配置文件中设置的 SELinux 模式也是强制执行（enforcing），这说明系统会在重启后继续以强制执行模式运行。

Policy MLS status: enabled

策略 MLS 状态为启用，这表示多级安全策略（MLS）功能在 SELinux 中是启用的。

Policy deny_unknown status: allowed

deny_unknown 策略状态为允许（allowed），这表示 SELinux 允许对未知进程进行访问控制。

Max kernel policy version: 31

最大内核策略版本号为 31，这是指内核支持的 SELinux 策略的最大版本号。

2、getenforce

getenforce命令可以查看 SELinux 的强制模式（Enforcing）、警告模式（Permissive）或禁用模式（Disabled）。

3、semanage

semanage命令可以查询和管理 SELinux 策略中的各种对象，如端口、用户、登录名等。比如查询ftp服务相关的布尔值是否处于打开状态，这里多解释一下，在 SELinux 安全策略中，布尔值（Boolean）是一种用于控制特定安全策略行为的开关变量。通过设置这些布尔值，可以启用或禁用特定的安全策略规则，从而调整系统的访问控制行为。

semanage boolean -l | grep ftp

如果semanage指令执行错误，可以是未安装SELinux管理工具包，执行下面的指令进行相关工具包安装，安装后再次执行上述命令：

sudo yum install policycoreutils

4、setsebool

setsebool 用于设置或修改 SELinux 的布尔值（Boolean）。布尔值通常以 on 或 off 的形式存在，用于表示某个特定的安全功能或行为是否启用。通过 setsebool，你可以启用或禁用特定的 SELinux 布尔值，从而调整系统的访问控制行为。

比如，允许vsftpd服务匿名用户写入

setsebool -P ftpd_anon_write on

其中，-P 参数表示永久性地修改该布尔值，而不仅仅是临时性地修改。

5、getsebool

用于查看 SELinux 布尔值的状态。比如，查询允许vsftpd服务匿名用户写入的布尔值：

getsebool ftpd_anon_write