安全利器—SELinux

在 Linux 系统中一切皆文件&＃xff0c;资源也属于某种文件。用户在访问文件的时候&＃xff0c;系统对权限&＃xff08;读、写 、执行&＃xff09;进行检查。只要用户对文件有足够的权限&＃xff0c;就可以任意操作资源。root 用户对所有资源拥有所有权限&＃xff0c;是个危险的存在。每年都会看到某职员一不小心把系统“干趴下”的新闻。这种权限管理的主体是用户&＃xff0c;被称为 Discretionary Access Control &＃xff0c;DAC &＃xff0c;自主访问控制。

DAC 机制下&＃xff0c;程序直接继承用户的权限。用户有权限&＃xff0c;则用户启动的程序就有权限&＃xff0c;恶意程序也有了发挥空间。DAC 让主体自主管理权限&＃xff0c;实践中容易管理不当&＃xff0c;基于读、写、执行的权限控制&＃xff0c;也过于粗略。为了解决这个问题&＃xff0c;Mandatory Access Control &＃xff0c;MAC &＃xff0c;强制访问控制&＃xff0c;就诞生了。MAC 机制下&＃xff0c;管理员定义好安全策略&＃xff0c;用户行为被强制约束&＃xff0c;避免发生意外。

SELinux 的价值 &＃xff1a;实现 MAC 机制&＃xff0c;增强抵御未知危害的能力。

SELinux 的出生 &＃xff1a;NSA&＃xff08;美国国家安全局&＃xff09;和 SELinux 社区的联合项目。

SELinux 支持内核版本 &＃xff1a;Linux Kernel 2.6.x 及以后版本。

SELinux 干了哪些活 &＃xff1a;定义一套 MAC 的权限系统&＃xff0c;对系统内的一切资源&＃xff08;文件&＃xff09;打上标记&＃xff08;安全上下文&＃xff09;&＃xff0c;使用安全策略来控制资源访问。用户同时通过 DAC 和 MAC 的检查&＃xff0c;才能访问资源。

安全上下文是 SELinux 的核心&＃xff0c;格式由三部分组成&＃xff1a;用户、角色、类型标识符&＃xff1a;

很多系统命令&＃xff0c;如 ls 、 ps 、 id &＃xff0c;带有 -Z 参数&＃xff0c;可以查看文件&＃xff0f;进程的安全上下文。

selinux 的用户管理中&＃xff0c;能跟踪一个登陆用户&＃xff0c;即使用户通过 su 命令切换了身份&＃xff0c;也被 selinux 视为同一个用户。

操作一&＃xff1a;打开新的终端登陆 root

操作二&＃xff1a;打开新的终端登陆 yishuguo

对比发现&＃xff0c;从一开始登陆新的终端&＃xff0c;到后期不管怎么进行用户切换操作&＃xff0c;SELinux 用户身份始终保持不变&＃xff0c;如上述操作截图中的 unconfined_u 和 user_u&＃xff0c;那么 user_u 和 unconfined_u 是怎么来的&＃xff1f;如下图&＃xff1a;

用户登陆关系转换表&＃xff0c;SELinux 就是这么把现有的系统用户关联起来的。

相关参考命令&＃xff1a;

• semanage user -a -L s0 -r "s0" -P user -R system_r tcxa_u
• semanage login -{a|d|m} [-sr] login_name

示例&＃xff1a;

• 新增 se 用户&＃xff1a;
  semanage user -a -L s0 -r “s0” -P user -R system_r tcxa_u
• 删除 se 用户&＃xff1a;
  semanage user -d tcxa_u
• 新增关联&＃xff1a;
  semanage login -a -s SEL用户 系统用户
• 删除关联&＃xff1a;
  semanage login -d -s SEL用户 系统用户

因为DAC的读、写、执行权限过于粗略&＃xff0c;SELinux 基于类型增强&＃xff08; Type-Enhanced &＃xff09; 的属性进行访问控制&＃xff0c;简单说就是基于安全上下文的类型属性的访问控制。上图中主体一般是指进程&＃xff0c;它的类型标签为 a_t&＃xff0c;客体是指所有可能被操作的文件&＃xff0c;类型标签是 b_t。主体访问客体时&＃xff0c;selinux 查询 AVC 库里的规则&＃xff0c;判断主体 .a_t 能否访问客体 .b_t。可以用一个形象的比喻&＃xff1a;a_t &＃xff0c;b_t 分别是主体和客体的工作牌&＃xff0c;AVC 是企业的规章制度&＃xff0c;制度决定 a_t 和 b_t 权限关系。

SELinux 有三种工作模式&＃xff0c;分别是 enforcing 、 permissive 和 disabled 。

SELinux 工作模式可以通过 /etc/selinux/config 配置文件中 SELINUX 参数来配置&＃xff0c;参考配置&＃xff1a;

SELINUX&＃61;enforcing | permissive | disabled


这里需要注意的是修改完配置需要重启系统才能生效。当然&＃xff0c;也可以通过 setenforce 1|0 来临时快速切换 enforcing 和 permissive&＃xff0c;并通过 getenforce 或者 sestatus 命令来验证当前状态。

auditd 记录了 selinux 的安全日志&＃xff0c;默认存储在 /var/log/audit/audit.log 。我们利用命令分析该日志&＃xff1a;

audit2why</var/log/audit/audit.log


找到异常或不当的日志记录&＃xff0c;然后调整 selinux 的权限。一般分四步——

1. 分析拦截日志转换成AV

cat audit.log|audit2allow -m tcxa -o tcxa.te


2. 检查并编译模块

checkmodule -mM -o tcxa.mod tcxa.te


3. 创建新模块

semodule_package -o tcxa.pp -m tcxa.mod


4. 分析拦截日志转换成AV

semanagemodule -a tcxa.pp


selinux 的调整&＃xff0c;都是围绕 semanage 这个工具完成的。常见操作案例如下&＃xff1a;

• 为某标签类型增加端口访问权限&＃xff1a;

semanage port -a -t http_port_t -p tcp39999


• 为指定目录或文件添加默认标签类型&＃xff1a;

semanage fcontext -a -t httpd_sys_content_t&＃39;/srv/www(/.*)?&＃39;


• 恢复指定目录或文件默认标签类型&＃xff1a;

restorecon -Rv/srv/www


• 临时变更文件标签类型&＃xff1a;

chcon -R -t/srv/www/


• 查找 SELinux 安全策略规则库&＃xff1a;

sesearch -A -s tc_httpd_t -t tc_httpd_rw_t


• 切换当前用户角色&＃xff1a;

newrole -r sysadm_r


• 查看和设置 SELinux 功能的 bool 值&＃xff1a;

getsebool -a | grep httpsetsebool -P httpd_use_nfs on | off

六、自定义 SELinux 规则模块

有时我们需要自定义 selinux 规则模块。

假设我们在系统上新部署了 Apache&＃xff0c;根据进程被拉起的方式不同&＃xff0c;Apache 进程安全上下文也会不同&＃xff0c;如注册为系统服务的方式和通过登陆用户后手动执行命令启动&＃xff0c;效果是不一样的。

系统服务启动方式的安全上下文可能是&＃xff1a;

system_u:system_r:initrc_t


用户登陆执行命令的安全上下文可能为&＃xff1a;

unconfined_u:unconfined_r:unconfined_t


httpd 进程的安全上下文的第一标签&＃xff08;用户&＃xff09;和第二标签&＃xff08;角色&＃xff09;属性是根据启动者的身份进行判定的&＃xff0c;如何设置第三标签属性呢&＃xff1f;

我们可以借助于 system-config-selinux 工具或者命令行工具 /usr/bin/sepolgen 来配置&＃xff0c;简单说明如下&＃xff1a;

[root&＃64;localhost Desktop]# system-config-selinux


通过向导完成操作后&＃xff0c;会基于 SELinux 的模版文件在指定目录下生成 4 个基础的文件&＃xff0c;我们也可以自行基于这 4 个基础文件添加或者修改需要的内容&＃xff0c;最后执行 tc_httpd.sh 脚本即可自动完成 SELinux 扩展模块的编译&＃xff0c;并自动尝试加载模块和设置安全上下文内容。

# ./tc_httpd.sh # /usr/local/apache2.2/bin/apachectl restart


上面截图的 Apache 进程的标签类型名称是 tc_httpd_t &＃xff0c;Apache 程序目录&＃xff0f;文件的标签类型名称是 tc_httpd_rw_t &＃xff0c;我们可以搜索 SELinux 安全策略规则集&＃xff0c;进一步了解 tc_httpd_t 和 tc_httpd_rw_t 的访问规则。

[root&＃64;localhost apache2.2]# sesearch -A -s tc_httpd_t -t tc_httpd_rw_t Found 2 semantic av rules: allow tc_httpd_t tc_httpd_rw_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ; allow tc_httpd_t tc_httpd_rw_t : dir { ioctl read write create getattr setattr
lock unlink link rename add_name remove_name reparent search rmdir open } ;


通过上述输出&＃xff0c;可以知道 tc_httpd_t 对 tc_httpd_rw_t 的操作权限&＃xff0c;看字面意思也能猜出个大概。对于 SELinux 模块的操作可以通过 semodule 和 semanage 两个命令进行&＃xff0c;可以自行参考 man 帮助手册。

SELinux 如果能熟练掌握并正确运用&＃xff0c;那么对于 0day 漏洞的抵御能力等同于是加了一层“铜墙铁壁”。

Ref

1. SELinux Project
2. semanage - SELinux Policy Management tool
3. semodule - Manage SELinux policy modules