当前位置: 首页 > article >正文

云原生大佬重生,记忆逐步复苏(十三:selinux模块)

目录

1:什么是selinux

1.1 SELinux 的作用

1.2. SELinux 的工作原理

1.3. SELinux 的运行模式

2:解析selinux文件上下文标签策略

3:selinux的布尔值

4:调查和解决selinux问题


1:什么是selinux

SELinux(Security-Enhanced Linux)是一种基于安全策略的访问控制机制,用于增强 Linux 系统的安全性。它通过强制访问控制(MAC,Mandatory Access Control)来限制进程和用户对系统资源的访问,从而提供比传统 Linux 权限模型(基于用户、组和文件权限)更细粒度和更灵活的安全控制。

1.1 SELinux 的作用

SELinux 的主要目标是:

提供强制访问控制:通过定义安全策略,限制进程和用户对系统资源(如文件、网络、设备等)的访问,防止恶意行为和安全漏洞的利用。

最小化权限原则:确保每个进程或用户只拥有完成其任务所必需的最小权限,减少潜在的安全风险。

增强系统安全性:通过限制进程的行为,防止恶意软件或漏洞对系统的破坏,即使攻击者突破了某个进程,也无法轻易扩展其权限。

1.2. SELinux 的工作原理

SELinux 的核心是安全策略,它定义了系统中各个主体(subjects)和客体(objects)之间的访问关系。主体通常是进程,而客体可以是文件、网络端口、设备等。SELinux 策略通过以下方式实现访问控制:

1.2.1 安全上下文(Security Context)

每个主体和客体都被分配了一个安全上下文,它是一个字符串,描述了该主体或客体的安全属性。例如:

在这个例子中:

system_u:用户身份(User)。

object_r:角色(Role)。

etc_t:类型(Type)。

s0:安全级别(Sensitivity Level)。

-Z选项可以查看资源的标签。

标签的各个组成部分解析

-用户(User)

含义:标识用户的身份,用于区分不同用户的安全上下文。

常见值:

system_u:系统用户,通常用于系统进程。

user_u:普通用户。

作用:用户部分定义了标签所属的用户身份,与角色和类型一起决定访问权限。

-角色(Role)

含义:定义用户或进程可以扮演的角色,用于限制进程或用户可以访问的类型。

常见值:

system_r:系统角色,通常用于系统进程。

object_r:对象角色,通常用于文件和目录。

作用:角色部分限制了用户或进程可以访问的类型(域)。例如,object_r 角色通常用于文件和目录,而 system_r 角色用于系统进程。

-类型(Type)

含义:定义对象的类型或进程的域,是 SELinux 策略中最关键的部分。

常见值:

httpd_t:Web 服务器进程的类型。

httpd_content_t:Web 服务器可以访问的文件类型。

etc_t:/etc 目录中文件的类型。

作用:类型部分是 SELinux 策略的核心,用于定义主体(如进程)和客体(如文件)之间的访问规则。SELinux 策略通过类型强制(Type Enforcement, TE)来控制访问。

-

多级安全级别(MLS Level)

含义:定义对象的敏感度级别,用于多级安全(MLS)或多类别安全(MCS)策略。

常见值:

s0:最低敏感度级别。

s0:c0.c1023:包含多个类别的敏感度级别。

作用:敏感度级别用于控制不同安全级别之间的访问。在 MLS 策略中,只有相同或更高敏感度级别的主体才能访问较低敏感度级别的客体。

-类别(Category)

含义:对特定敏感度级别进行进一步的分类,用于更细粒度的访问控制。

常见值:

c0:类别 0。

c0.c1023:类别范围从 0 到 1023。

作用:类别用于在相同敏感度级别下进一步划分访问权限。在 MLS 策略中,类别可以用于更细粒度的访问控制。

-范围(Range)

含义:定义对象的敏感度级别范围,用于 MLS 策略。

常见值:

s0-s0:c0.c1023:表示从最低敏感度级别到包含多个类别的范围。

作用:范围用于定义对象的敏感度级别区间,允许在该区间内的访问。

1.2.2 策略规则

SELinux 策略定义了主体和客体之间的访问规则。例如:

允许规则:allow <subject> <object>:<class> <permissions>;

类型规则:定义进程可以访问哪些类型的文件或资源。

作用:允许httpd-t的进程使用httpd_content_t的文件,具有读写权限

1.2.3 强制访问控制(MAC)

SELinux 使用强制访问控制机制,即访问控制决策由安全策略决定,而不是由用户或进程的权限决定。即使用户拥有文件的所有权,SELinux 策略也可以限制其访问。

示例:SELinux 的实际应用

假设有一个 Web 服务器进程运行在 SELinux 环境下,SELinux 策略可能会限制它只能访问特定目录(如 /var/www/html),而不能访问其他敏感文件(如 /etc/passwd)。即使 Web 服务器进程的用户(如 apache)拥有对 /etc/passwd 的读权限,SELinux 策略也会阻止其访问。

1.3. SELinux 的运行模式

SELinux 有三种运行模式:

-Enforcing 模式:强制执行安全策略,违反策略的操作将被阻止。

-Permissive 模式:记录违反策略的操作,但不阻止它们。这种模式用于调试和测试策略。

-Disabled 模式:SELinux 完全禁用,不执行任何安全策略。

可以通过以下命令查看当前 SELinux 模式:

也可以通过以下命令设置当前的selinux模式

Setenforce 0|1  0表示permissive ,1表示enforcing

如果你想禁用selinux,从linux9起,redhat版本的linux只能在内核参数上设置selinux=0来禁用selinux,不能在selinux的配置文件上/etc/selinux/config上设置selinux=disabled了,这样的话只会导致所有的操作都失败,因为会强制执行所有策略,但是又不会加载任何策略。这个是有意为之的,为了避免绕过selinux进行违规操作。

2:解析selinux文件上下文标签策略

上面已经提到过,selinux通过给予主体和客体对应的安全上下文来限定访问方式,那么给予文件安全上下文的策略就叫做文件上下文标签策略,selinux预先给文件系统内的文件和目录制定了文件上下文策略,就在/etc/selinux/targeted/contexts/files中:

在linux中管理(包括查看,添加,删除)文件上下文策略的命令是semanage fcontext,预先需要下载policycoreutils和policycoreutils-python-utils软件包,里面包含semanage和restorecon命令。

文件上下文策略应用包含了添加文件上下文策略,应用文件上下文策略,删除文件上下文策略,查看文件上下文策略,修改文件上下文策略。

-查看文件上下文策略:semanage fcontext -l

-修改文件上下文策略:chcon -t 标签 目录或文件

-添加文件上下文策略 semanage fcontext -a -t 指定路径

备注:(/.*)?是扩展表达式,常用于表示某个目录后的所有文件,()?表示括号里面的内容可以出现0-无数次。进行相应的文件模式匹配。

下面是未添加策略前的准备和标签展示:

下面是添加策略

可以发现仍然标签没有变化,因为此时添加的策略还没有应用,需要用restorecon命令来应用策略,另外同一个路径不能多次添加策略

可以看到此时策略应用成功

-删除文件上下文策略 semanage fcontext -d -t

可以看到标签又恢复到之前的了。

备注1:在同一个文件系统内移动或者复制文件的时候,文件的安全上下文也会根据复制或者移动的位置发生更改,具体取决于对应的selinux策略,如果想不发生更改,可以用对应的选项保留安全上下文。

比如说:cp -p(保留所有属性),cp --preserve=type(保留标签类型)

备注2:semanage除了可以管理文件标签上下文外,还可以管理类似于端口,角色,用户,接口等等关于selinux的各个方面,再补充一下端口的管理

-添加端口:

semanage port -a -t <type> -p <protocol> <port>

示例:为 HTTP 服务添加 TCP 端口 8080:

semanage port -a -t http_port_t -p tcp 8080

-删除端口:

semanage port -d -p <protocol> <port>

示例:删除 TCP 端口 8080:

semanage port -d -p tcp 8080

-查询端口:

semanage port -l | grep <port>

示例:查询端口 8080 的上下文:

semanage port -l | grep 8080

3:selinux的布尔值

在上面的增加策略和删除策略中我想应该会有一点繁琐,因为加入我想添加策略还要特地去进行添加,还要应用策略,如果碰上一种需要频繁更换策略的场景就会非常繁琐,所以selinux布尔值应运而生。通过调整布尔值,管理员可以灵活地控制系统的安全策略,而无需重新编译或修改 SELinux 策略文件。

常用的布尔值管理命令

1. 查询布尔值

getsebool 命令用于查询 SELinux 布尔值的状态:

getsebool -a  # 显示所有布尔值的状态

getsebool httpd_can_network_connect  # 查询特定布尔值的状态

2. 修改布尔值

setsebool 命令用于修改布尔值的状态:

setsebool httpd_can_network_connect on  # 临时启用布尔值

setsebool httpd_can_network_connect off  # 临时禁用布尔值

3. 持久化修改

使用 -P 选项可以使修改后的布尔值状态在系统重启后仍然生效:

setsebool -P httpd_can_network_connect on  # 永久启用布尔值

4. 列出布尔值及其描述

semanage boolean -l 命令可以列出所有布尔值及其描述:

semanage boolean -l  # 列出所有布尔值及其描述

布尔值修改的影响

修改布尔值会立即改变系统上的活动策略规则。例如,启用 httpd_can_network_connect 布尔值后,Apache Web 服务器将被允许进行网络连接.

4:调查和解决selinux问题

如之前所示,如果当我们做出了违背selinux策略的操作时,在permissive和enforcing模式下会被记录下来,那么第一个问题,记录的地方在哪里呢,会记录哪些东西呢,如何去解决问题呢,围绕着这三个问题,我们一一讨论。

-selinux问题记录在哪里?

备注:提供selinux诊断和解决服务由setroubleshoot-server软件包提供,里面包含了以下工具和进程。

1.主要进程

setroubleshootd:

功能:这是 setroubleshoot 的主守护程序,用于处理传入的 SELinux 审计事件和插件定义。它会分析 AVC 消息,并根据插件的建议生成警报。

启动方式:通常由系统自动启动,也可以通过命令手动启动:

systemctl start setroubleshootd

日志文件:setroubleshootd 的输出会记录到 /var/log/messages 文件中。

sedispatch:

功能:这是一个审计调度程序,用于扫描 SELinux 的访问控制违规(AVC)消息,并将它们转换为 DBus 消息,然后传递给 setroubleshootd。

工作方式:sedispatch 通常由 auditd 服务触发,用于实时处理 AVC 消息。

2. 主要工具

sealert:

功能:这是一个命令行工具,用于分析 /var/log/audit/audit.log 或其他日志文件中的 SELinux AVC 消息,并提供详细的错误分析和解决建议。

使用方法:

sealert -a /var/log/audit/audit.log

或者分析特定的 AVC 消息:

sealert -l <avc_message_id>

setroubleshoot-plugins:

功能:这是一组插件,用于分析 AVC 消息并提供解决问题的建议。这些插件可以根据不同的错误类型提供具体的修复方法,例如调整文件上下文、修改 SELinux 布尔值等。

3. 数据库文件

/var/lib/setroubleshoot/setroubleshoot_database.xml:

功能:这是一个警报数据库文件,用于存储 setroubleshootd 生成的警报和分析结果。管理员可以通过这个文件查看历史警报和分析结果。

4. 工作原理

setroubleshoot 的工作流程如下:

收集 AVC 消息:auditd 服务收集 SELinux 的 AVC 消息,并将其记录到 /var/log/audit/audit.log 文件中。

消息转换:sedispatch 从审计日志中读取 AVC 消息,并将其转换为 DBus 消息。

分析和警报:setroubleshootd 接收 DBus 消息,并通过插件分析这些消息。如果检测到问题,它会生成警报并记录到 /var/log/messages 文件中。

提供解决方案:sealert 工具可以读取警报并提供详细的错误分析和解析

-记录哪些东西呢?

如上所说,既然已经生成了警报,那么首先生成的AVC(access vector control)消息是什么呢,AVC是系统的selinux策略阻止某个进程访问系统资源时生成的一个日志记录

AVC 消息通常包含以下关键信息:

时间戳:记录违规发生的时间。

进程信息:

进程 ID(PID):触发违规的进程 ID。

进程上下文:触发违规的进程的安全上下文(如 unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023)。

资源信息:

目标资源:被访问的资源(如文件路径、网络端口等)。

资源上下文:目标资源的安全上下文。

访问类型:被拒绝的访问类型(如 read、write、execute 等)。

结果:违规的结果(通常是 denied)。

3. AVC 消息的示例

假设你运行了一个 Web 服务器(如 Apache),但 SELinux 策略阻止了它访问某个文件。你可能会在 /var/log/audit/audit.log 文件中看到类似以下的 AVC 消息:

type=AVC msg=audit(1680323400.123:1234): avc:  denied  { read } for  pid=12345 comm="httpd" name="index.html" dev="sda1" ino=123456 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:etc_t:s0 tclass=file permissive=0

解析示例

type=AVC:表示这是一条 AVC 消息。

msg=audit(1680323400.123:1234):时间戳和审计消息 ID。

avc: denied { read }:表示访问被拒绝,具体是读取操作。

pid=12345:触发违规的进程 ID。

comm="httpd":触发违规的进程名称(Apache Web 服务器)。

name="index.html":被访问的文件名。

dev="sda1":文件所在的设备。

ino=123456:文件的 inode 编号。

scontext=system_u:system_r:httpd_t:s0:触发违规的进程的安全上下文。

tcontext=unconfined_u:object_r:etc_t:s0:目标文件的安全上下文。

tclass=file:目标资源的类别(文件)。

permissive=0:表示 SELinux 当前处于强制模式(Enforcing)。

然后,AVC消息记录到/var/log/audit/audit.log后,消息的摘要会被selinux诊断服务发送到/var/log/messages上。

-如何分析和解决selinux问题呢

简单来说,avc消息产生后,如何分析avc消息得到提示解决操作是我们要做的工作,软件包提供了sealert和ausearch工具来分析avc消息,每个avc消息都有自己独特UUID,或者可以根据日志文件记录的avc消息来分析。

Ausearch是从审计日志中audit.log中查找特定的avc事件

示例:ausearch -m avc

Sealert是根据avc事件的UUID来生成一份详细的审查和建议报告

示例:sealert -l UUID

或者根据日志来分析所有的AVC消息

示例:sealert -a /var/log/audit/audit.log


http://www.kler.cn/a/586487.html

相关文章:

  • 天梯赛-前世档案 二进制的巧妙使用
  • Qt常用控件之表单布局QFormLayout
  • 测试开发 - 正浩创新 - 一面面经(已OC)
  • 场景题:一个存储IP地址的100G 的文件, 找出现次数最多的 IP ?
  • 嵌入式学习L6网络编程D3TCP
  • Sidekick:你的 macOS 本地 AI 助手,畅享智能对话!
  • 0011__Apache Spark
  • 帮助和配置文件
  • DataWhale 大语言模型 - Transformer模型介绍
  • MindGYM:一个用于增强视觉-语言模型推理能力的合成数据集框架,通过生成自挑战问题来提升模型的多跳推理能力。
  • Redis分布式锁深度剖析:从原理到Redisson实战,破解脑裂与高并发锁难题
  • Android 打包module为jar和aar包 基础
  • 从网络通信探究分布式通信的原理
  • 【零基础入门unity游戏开发——进阶篇】Marhf和Math的使用
  • 【每日学点HarmonyOS Next知识】tab对齐、相对布局、自定义弹窗全屏、动画集合、回到桌面
  • HarmonyOS第21天:解锁分布式技术,开启跨设备协同新体验
  • 前端开发:混合技术栈的应用
  • 用SpringBoot做一个web小案例配置拦截器判断登录状态
  • 侯捷 C++ 课程学习笔记:进阶语法之lambda表达式(二)
  • Webpack 知识点整理