SELinux 深入解析：功能与原理

一、SELinux 概述

SELinux (Security-Enhanced Linux) 是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)安全机制，自Linux 2.6内核起被集成到主流Linux发行版中。

核心特点

• 强制访问控制(MAC)：与传统的自主访问控制(DAC)不同，MAC由系统强制执行
• 最小权限原则：默认拒绝所有访问，只允许明确授权的操作
• 基于角色的访问控制(RBAC)：用户被分配角色，角色拥有特定权限
• 类型强制(TE)：主体(进程)和客体(文件、端口等)都有安全标签

二、SELinux 核心组件

1. 安全上下文(Security Context)

每个系统对象(文件、进程、端口等)都有一个安全上下文标签，格式为： user:role:type[:level]

示例：

system_u:system_r:httpd_t:s0

2. 策略(Policy)

SELinux策略定义了： - 类型(Type)之间的关系 - 角色(Role)可以访问哪些类型 - 用户(User)可以担任哪些角色

3. 策略数据库

二进制格式的策略规则集合，通常位于/etc/selinux/[policy_name]/policy/

三、SELinux 工作原理

访问控制流程

1. 进程(主体)尝试访问资源(客体)
2. 内核检查传统的DAC权限
3. 如果DAC允许，则继续检查SELinux策略
4. SELinux检查主体和客体的安全上下文
5. 根据策略规则决定是否允许访问

决策矩阵

访问是否被允许取决于： - 源类型(进程的type) - 目标类型(资源的type) - 对象类别(文件、目录、套接字等) - 访问权限(读、写、执行等)

四、SELinux 工作模式

查看当前模式：

getenforce

临时切换模式：

setenforce 0  # Permissive
setenforce 1  # Enforcing

五、SELinux 管理工具

常用命令

• sestatus - 查看SELinux状态
• chcon - 更改文件安全上下文
• restorecon - 恢复文件默认安全上下文
• semanage - 管理策略元素(端口、布尔值等)
• audit2allow - 从审计日志生成策略模块

布尔值管理

SELinux提供大量可调节的布尔值开关：

getsebool -a  # 列出所有布尔值
setsebool -P httpd_can_network_connect on  # 永久设置布尔值

六、SELinux 策略开发

策略类型

1. Targeted (默认)：仅保护关键系统进程
2. MLS (多级安全)：军事级安全，支持信息分级
3. Minimum：最小策略集

自定义策略模块

1. 从审计日志生成模块：

grep avc /var/log/audit/audit.log | audit2allow -M mypolicy

2. 安装模块：

semodule -i mypolicy.pp

七、SELinux 故障排除

常见问题诊断步骤

1. 检查SELinux是否阻止了访问：

grep avc /var/log/audit/audit.log

2. 使用sealert分析：

sealert -a /var/log/audit/audit.log

3. 临时切换到Permissive模式测试

解决策略违规的选项

1. 修改文件标签(chcon或restorecon)
2. 调整SELinux布尔值
3. 创建自定义策略模块
4. 修改应用程序配置以符合安全策略

八、SELinux 最佳实践

1. 不要禁用SELinux：使用Permissive模式进行调试
2. 优先使用默认策略：仅在必要时创建自定义策略
3. 定期审查审计日志：监控潜在安全问题
4. 测试环境验证：在生产环境前充分测试策略变更
5. 文档记录变更：记录所有自定义策略和布尔值修改

SELinux虽然增加了系统复杂性，但提供了强大的安全保护层。正确配置后，它可以显著减少系统被攻陷的风险，是Linux系统安全的重要防线。