回到 Kernel 2.6 時(shí)代��,那時(shí)候引入了一個(gè)新的安全系統(tǒng)�,用以提供訪問(wèn)控制安全策略的機(jī)制。這個(gè)系統(tǒng)就是 Security Enhanced Linux (SELinux)�,它是由美國(guó)國(guó)家安全局(NSA)貢獻(xiàn)的,它為 Linux 內(nèi)核子系統(tǒng)引入了一個(gè)健壯的強(qiáng)制控制訪問(wèn)Mandatory Access Control架構(gòu)�。
如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,這篇文章就是專(zhuān)門(mén)為你寫(xiě)的:這是一篇對(duì)存在于你的 Linux 桌面或服務(wù)器之下的 SELinux 系統(tǒng)的介紹���,它能夠限制權(quán)限��,甚至消除程序或守護(hù)進(jìn)程的脆弱性而造成破壞的可能性�。
在我開(kāi)始之前��,你應(yīng)該已經(jīng)了解的是 SELinux 主要是紅帽 Red Hat Linux 以及它的衍生發(fā)行版上的一個(gè)工具。類(lèi)似地��, Ubuntu 和 SUSE(以及它們的衍生發(fā)行版)使用的是 AppArmor���。SELinux 和 AppArmor 有顯著的不同��。你可以在 SUSE����,openSUSE���,Ubuntu 等等發(fā)行版上安裝 SELinux��,但這是項(xiàng)難以置信的挑戰(zhàn)�,除非你十分精通 Linux����。
說(shuō)了這么多��,讓我來(lái)向你介紹 SELinux�����。
DAC vs. MAC
Linux 上傳統(tǒng)的訪問(wèn)控制標(biāo)準(zhǔn)是自主訪問(wèn)控制Discretionary Access Control(DAC)。在這種形式下����,一個(gè)軟件或守護(hù)進(jìn)程以 User ID(UID)或 Set owner User ID(SUID)的身份運(yùn)行,并且擁有該用戶的目標(biāo)(文件�����、套接字��、以及其它進(jìn)程)權(quán)限�����。這使得惡意代碼很容易運(yùn)行在特定權(quán)限之下��,從而取得訪問(wèn)關(guān)鍵的子系統(tǒng)的權(quán)限����。
另一方面,強(qiáng)制訪問(wèn)控制Mandatory Access Control(MAC)基于保密性和完整性強(qiáng)制信息的隔離以限制破壞��。該限制單元獨(dú)立于傳統(tǒng)的 Linux 安全機(jī)制運(yùn)作��,并且沒(méi)有超級(jí)用戶的概念���。
SELinux 如何工作
考慮一下 SELinux 的相關(guān)概念:
- 主體Subjects
- 目標(biāo)Objects
- 策略Policy
- 模式Mode
當(dāng)一個(gè)主體Subject(如一個(gè)程序)嘗試訪問(wèn)一個(gè)目標(biāo)Object(如一個(gè)文件)����,SELinux 安全服務(wù)器SELinux Security Server(在內(nèi)核中)從策略數(shù)據(jù)庫(kù)Policy Database中運(yùn)行一個(gè)檢查?;诋?dāng)前的模式mode,如果 SELinux 安全服務(wù)器授予權(quán)限�,該主體就能夠訪問(wèn)該目標(biāo)。如果 SELinux 安全服務(wù)器拒絕了權(quán)限����,就會(huì)在 /var/log/messages 中記錄一條拒絕信息。
聽(tīng)起來(lái)相對(duì)比較簡(jiǎn)單是不是�?實(shí)際上過(guò)程要更加復(fù)雜,但為了簡(jiǎn)化介紹��,只列出了重要的步驟���。
模式
SELinux 有三個(gè)模式(可以由用戶設(shè)置)����。這些模式將規(guī)定 SELinux 在主體請(qǐng)求時(shí)如何應(yīng)對(duì)�。這些模式是:
- Enforcing 強(qiáng)制— SELinux 策略強(qiáng)制執(zhí)行�,基于 SELinux 策略規(guī)則授予或拒絕主體對(duì)目標(biāo)的訪問(wèn)
- Permissive 寬容— SELinux 策略不強(qiáng)制執(zhí)行,不實(shí)際拒絕訪問(wèn),但會(huì)有拒絕信息寫(xiě)入日志
- Disabled 禁用— 完全禁用 SELinux
圖 1:getenforce 命令顯示 SELinux 的狀態(tài)是 Enforcing 啟用狀態(tài)�����。
默認(rèn)情況下�����,大部分系統(tǒng)的 SELinux 設(shè)置為 Enforcing��。你要如何知道你的系統(tǒng)當(dāng)前是什么模式���?你可以使用一條簡(jiǎn)單的命令來(lái)查看�����,這條命令就是 getenforce����。這個(gè)命令用起來(lái)難以置信的簡(jiǎn)單(因?yàn)樗鼉H僅用來(lái)報(bào)告 SELinux 的模式)�。要使用這個(gè)工具,打開(kāi)一個(gè)終端窗口并執(zhí)行 getenforce 命令�����。命令會(huì)返回 Enforcing、Permissive����,或者 Disabled(見(jiàn)上方圖 1)。
設(shè)置 SELinux 的模式實(shí)際上很簡(jiǎn)單——取決于你想設(shè)置什么模式���。記?��。河肋h(yuǎn)不推薦關(guān)閉 SELinux。為什么����?當(dāng)你這么做了,就會(huì)出現(xiàn)這種可能性:你磁盤(pán)上的文件可能會(huì)被打上錯(cuò)誤的權(quán)限標(biāo)簽�,需要你重新標(biāo)記權(quán)限才能修復(fù)。而且你無(wú)法修改一個(gè)以 Disabled 模式啟動(dòng)的系統(tǒng)的模式����。你的最佳模式是 Enforcing 或者 Permissive。
你可以從命令行或 /etc/selinux/config 文件更改 SELinux 的模式�����。要從命令行設(shè)置模式���,你可以使用 setenforce 工具�����。要設(shè)置 Enforcing 模式�����,按下面這么做:
- 打開(kāi)一個(gè)終端窗口
- 執(zhí)行 su 然后輸入你的管理員密碼
- 執(zhí)行 setenforce 1
- 執(zhí)行 getenforce 確定模式已經(jīng)正確設(shè)置(圖 2)
圖 2:設(shè)置 SELinux 模式為 Enforcing��。
要設(shè)置模式為 Permissive��,這么做:
- 打開(kāi)一個(gè)終端窗口
- 執(zhí)行 su 然后輸入你的管理員密碼
- 執(zhí)行 setenforce 0
- 執(zhí)行 getenforce 確定模式已經(jīng)正確設(shè)置(圖 3)
圖 3:設(shè)置 SELinux 模式為 Permissive����。
注:通過(guò)命令行設(shè)置模式會(huì)覆蓋 SELinux 配置文件中的設(shè)置�����。
如果你更愿意在 SELinux 命令文件中設(shè)置模式���,用你喜歡的編輯器打開(kāi)那個(gè)文件找到這一行:
你可以按你的偏好設(shè)置模式��,然后保存文件�。
還有第三種方法修改 SELinux 的模式(通過(guò) bootloader),但我不推薦新用戶這么做�����。
策略類(lèi)型
SELinux 策略有兩種:
- Targeted目標(biāo) — 只有目標(biāo)網(wǎng)絡(luò)進(jìn)程(dhcpd�,httpd,named��,nscd�,ntpd,portmap�����,snmpd��,squid����,以及 syslogd)受保護(hù)
- Strict嚴(yán)格 — 對(duì)所有進(jìn)程完全的 SELinux 保護(hù)
你可以在 /etc/selinux/config 文件中修改策略類(lèi)型。用你喜歡的編輯器打開(kāi)這個(gè)文件找到這一行:
修改這個(gè)選項(xiàng)為 targeted 或 strict 以滿足你的需求��。
檢查完整的 SELinux 狀態(tài)
有個(gè)方便的 SELinux 工具�,你可能想要用它來(lái)獲取你啟用了 SELinux 的系統(tǒng)的詳細(xì)狀態(tài)報(bào)告。這個(gè)命令在終端像這樣運(yùn)行:
你可以看到像圖 4 那樣的輸出。
圖 4:sestatus -v 命令的輸出���。
僅是皮毛
和你預(yù)想的一樣�����,我只介紹了 SELinux 的一點(diǎn)皮毛。SELinux 的確是個(gè)復(fù)雜的系統(tǒng)�,想要更扎實(shí)地理解它是如何工作的,以及了解如何讓它更好地為你的桌面或服務(wù)器工作需要更加地深入學(xué)習(xí)����。我的內(nèi)容還沒(méi)有覆蓋到疑難解答和創(chuàng)建自定義 SELinux 策略。
SELinux 是所有 Linux 管理員都應(yīng)該知道的強(qiáng)大工具?���,F(xiàn)在已經(jīng)向你介紹了 SELinux,我強(qiáng)烈推薦你回到 Linux.com(當(dāng)有更多關(guān)于此話題的文章發(fā)表的時(shí)候)或看看NSA SELinux 文檔 獲得更加深入的指南��。
以上就是本文的全部?jī)?nèi)容�����,希望對(duì)大家的學(xué)習(xí)有所幫助���,也希望大家多多支持腳本之家����。
