Selinux enforcing詳解

一、Selinux enforcing優勢

Selinux是一種Mandatory Access Control系統，通過對系統資源、進程和用戶進行細粒度的訪問控制，能夠大大增加系統的安全性。在Enforcing模式下，Selinux會強制執行策略，拒絕所有未經授權的操作。使用Selinux enforcing有以下幾個優勢：

1、維護完整性：Selinux enforcing通過限制進程對調用的資源的訪問來保持系統的完整性。如果一個進程試圖修改它沒有許可權的文件或目錄，則該操作將被阻止。

$ echo "Hello Selinux" > /tmp/test
$ chcon -t httpd_sys_content_t /tmp/test
$ ls -lZ /tmp/test
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /tmp/test
$ echo "Hello World" > /tmp/test
bash: /tmp/test: Permission denied

2、拒絕攻擊：Selinux enforcing能夠對系統中產生的攻擊進行自動阻止，避免非授權訪問。

3、減少人為錯誤：通過限制進程和用戶對資源的訪問，Selinux enforcing能夠防止用戶或進程對系統資源進行不恰當的操作。

二、Selinux enforcing的工作機制

Selinux enforcing的工作原理是基於許多不同的組件，包括策略、標籤和更高級別的安全模塊。這些組件協同工作，來保護系統免受未經授權的訪問。

1、Policy：策略是Selinux enforcing的核心組件，定義了哪些進程可以訪問哪些資源，以及他們可以在系統上執行哪些操作。Selinux策略是以二進位格式存儲在系統上的，可以使用semanage或audit2allow等工具對策略進行修改。

# 查看當前selinux策略
$ getenforce 
Enforcing

# 查看selinux策略類型
$ sestatus 
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      31

2、Label：Selinux enforcing使用安全標記來標識資源，以及哪些進程可以訪問這些資源。標記是以的Binary Long Object（BLOB）形式存儲在系統上的，可以通過getsebool或chcon命令查看或修改標記內容。

$ ls -lZ /var/logs/
drwxr-xr-x. root root system_u:object_r:var_log_t:s0   audit
drwxr-xr-x. root root system_u:object_r:var_log_t:s0   chrony
-rw-r--r--. root root system_u:object_r:var_log_t:s0   faillog
-rw-------. root root system_u:object_r:var_log_t:s0   lastlog
-rw-r--r--. root root system_u:object_r:var_log_t:s0   tallylog
$ chcon -t httpd_sys_content_t /var/www/html
$ ls -lZ /var/www/html
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

3、Module：安全模塊是Selinux enforcing中的高級別組件，用於對系統進行更高級別的保護。例如，當一個新的應用程序使用系統資源時，Selinux enforcing會從存儲在系統中的模塊中自動選擇需要的安全功能，以保護系統免受攻擊。

三、Selinux enforcing常見問題解決

Selinux enforcing可能會帶來一些影響，包括文件訪問許可權受限和進程啟動問題。下面介紹一些常見的問題和解決方案。

1、文件訪問許可權受限：由於Selinux enforcing的限制，有時會導致文件訪問不到或修改不了，可以通過chcon命令來變更文件屬性。

# 禁止httpd訪問/tmp/myfile
$ chcon -t httpd_sys_content_t /tmp/myfile
$ ls -Z /tmp/myfile
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /tmp/myfile

# 恢復httpd訪問/tmp/myfile
$ chcon -t httpd_sys_rw_content_t /tmp/myfile
$ ls -Z /tmp/myfile
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_rw_content_t:s0 /tmp/myfile

2、進程啟動問題：如果一個進程無法啟動，可能是Selinux enforcing的限制導致的。可以通過設置Selinux enforcing參數來禁用或放寬限制。

# 查看Selinux enforcing參數
$ getsebool httpd_can_network_connect
httpd_can_network_connect --> off

# 允許httpd網路連接
$ setsebool httpd_can_network_connect on

四、Selinux enforcing應用場景

Selinux enforcing廣泛應用於互聯網公司、金融機構、政府和軍事部門等領域，用於保護系統免受未經授權的訪問。

例如，在Web伺服器應用程序中，Selinux enforcing可以保護靜態文件、資料庫和腳本免受未經授權的訪問。此外，通過使用「後門」和其他未經授權的入口點進行入侵的攻擊也可以被阻止。

五、結論

Selinux enforcing是一種強制訪問控制系統，它能夠以細粒度的方式對系統資源、進程和用戶進行訪問控制。Selinux enforcing雖然在使用中可能受到一定的限制，但它的強大功能可以幫助用戶保護系統免受攻擊，提高系統的安全性。在構建和維護系統時，使用Selinux enforcing可以使用戶不必擔心多重攻擊和隱蔽漏洞的問題。