系統管理員的 SELinux 指南：這個大問題的 42 個答案

獲取有關生活、宇宙和除了有關 SELinux 的重要問題的答案

“一個重要而普遍的事實是，事情並不總是你看上去的那樣 …”

―Douglas Adams，《銀河系漫遊指南》

安全、堅固、遵從性、策略是末世中系統管理員的四騎士。除了我們的日常任務之外 —— 監控、備份、實施、調優、更新等等 —— 我們還需要負責我們的系統安全。即使這些系統是第三方提供商告訴我們該禁用增強安全性的系統。這看起來像《碟中碟》中 Ethan Hunt 的工作一樣。

面對這種窘境，一些系統管理員決定去服用藍色小藥丸，因為他們認為他們永遠也不會知道如生命、宇宙、以及其它一些大問題的答案。而我們都知道，它的答案就是這個 42。

按《銀河系漫遊指南》的精神，這裡是關於在你的系統上管理和使用 SELinux 這個大問題的 42 個答案。

1、SELinux 是一個標籤系統，這意味著每個進程都有一個標籤。每個文件、目錄、以及系統對象都有一個標籤。策略規則負責控制標籤化的進程和標籤化的對象之間的訪問。由內核強制執行這些規則。

2、兩個最重要的概念是：標籤化（文件、進程、端口等等）和類型強制（基於不同的類型隔離不同的的進程）。

3、正確的標籤格式是 user:role:type:level（可選）。

4、多級別安全(Multi-Level Security)（MLS）強制的目的是基於它們所使用數據的安全級別，對進程（域）強制實施控制。比如，一個秘密級別的進程是不能讀取極機密級別的數據。

5、多類別安全(Multi-Category Security)（MCS）強制相互保護相似的進程（如虛擬機、OpenShift gears、SELinux 沙盒、容器等等）。

6、在啟動時改變 SELinux 模式的內核參數有：

• autorelabel=1 → 強制給系統重新標籤化selinux=0 → 內核不加載 SELinux 基礎設施的任何部分enforcing=0 → 以 許可(permissive)模式啟動

7、如果給整個系統重新標籤化：

# touch /.autorelabel

# reboot

如果系統標籤中有大量的錯誤，為了能夠讓 autorelabel 成功，你可以用許可模式引導系統

8、檢查 SELinux 是否啟用：# getenforce

9、臨時啟用/禁用 SELinux：# setenforce [1|0]

10、SELinux 狀態工具：# sestatus

11、配置文件：/etc/selinux/config

12、SELinux 是如何工作的？這是一個為 Apache Web Server 標籤化的示例：

• 二進制文件：/usr/sbin/httpd→httpd_exec_t配置文件目錄：/etc/httpd→httpd_config_t日誌文件目錄：/var/log/httpd → httpd_log_t內容目錄：/var/www/html → httpd_sys_content_t啟動腳本：/usr/lib/systemd/system/httpd.service → httpd_unit_file_d進程：/usr/sbin/httpd -DFOREGROUND → httpd_t端口：80/tcp, 443/tcp → httpd_t, http_port_t

在 httpd_t 安全上下文中運行的一個進程可以與具有 httpd_something_t 標籤的對象交互。

13、許多命令都可以接收一個 -Z 參數去查看、創建、和修改安全上下文：

• ls -Zid -Zps -Znetstat -Zcp -Zmkdir -Z

當文件被創建時，它們的安全上下文會根據它們父目錄的安全上下文來創建（可能有某些例外）。RPM 可以在安裝過程中設定安全上下文。

14、這裡有導致 SELinux 出錯的四個關鍵原因，它們將在下面的 15 - 21 條中展開描述：

• 標籤化問題SELinux 需要知道一些東西SELinux 策略或者應用有 bug你的信息可能被損壞

15、標籤化問題：如果在 /srv/myweb 中你的文件沒有被正確的標籤化，訪問可能會被拒絕。這裡有一些修復這類問題的方法：

• 如果你知道標籤：# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'如果你知道和它有相同標籤的文件：# semanage fcontext -a -e /srv/myweb /var/www恢復安全上下文（對於以上兩種情況）：# restorecon -vR /srv/myweb

16、標籤化問題：如果你是移動了一個文件，而不是去複製它，那麼這個文件將保持原始的環境。修復這類問題：

• 使用標籤來改變安全上下文：# chcon -t httpd_system_content_t /var/www/html/index.html使用參考文件的標籤來改變安全上下文：# chcon --reference /var/www/html/ /var/www/html/index.html恢復安全上下文（對於以上兩種情況）：# restorecon -vR /var/www/html/

17、如果 SELinux 需要知道 HTTPD 在 8585 端口上監聽，使用下列命令告訴 SELinux：# semanage port -a -t http_port_t -p tcp 8585

18、SELinux 需要知道是否允許在運行時改變 SELinux 策略部分，而無需重寫 SELinux 策略。例如，如果希望 httpd 去發送郵件，輸入：# setsebool -P httpd_can_sendmail 1

19、SELinux 需要知道 SELinux 設置的關閉或打開的一系列布爾值：

• 查看所有的布爾值：# getsebool -a查看每個布爾值的描述：# semanage boolean -l設置某個布爾值：# setsebool [_boolean_] [1|0]將它配置為永久值，添加 -P 標誌。例如：# setsebool httpd_enable_ftp_server 1 -P

20、SELinux 策略/應用可能有 bug，包括：

• 不尋常的代碼路徑配置重定向 stdout洩露的文件描述符可執行內存錯誤構建的庫

開一個工單（但不要提交 Bugzilla 報告；使用 Bugzilla 沒有對應的服務）

21、你的信息可能被損壞了，假如你被限制在某個區域，嘗試這樣做：

• 加載內核模塊關閉 SELinux 的強制模式寫入 etc_t/shadow_t修改 iptables 規則

22、用於開發策略模塊的 SELinux 工具：# yum -y install setroubleshoot setroubleshoot-server。安裝完成之後重引導機器或重啟 auditd 服務。

23、使用 journalctl 去列出所有與 setroubleshoot 相關的日誌：# journalctl -t setroubleshoot --since=14:20

24、使用 journalctl 去列出所有與特定 SELinux 標籤相關的日誌。例如：# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25、當 SELinux 錯誤發生時，使用setroubleshoot 的日誌，並嘗試找到某些可能的解決方法。例如：從 journalctl 中：

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,

/var/www/html/index.html default label should be httpd_syscontent_t.

Then you can restorecon.

Do

# /sbin/restorecon -v /var/www/html/index.html

26、日誌：SELinux 記錄的信息全在這些地方：

• /var/log/messages/var/log/audit/audit.log/var/lib/setroubleshoot/setroubleshoot_database.xml

27、日誌：在審計日誌中查找 SELinux 錯誤：# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28、針對特定的服務，搜索 SELinux 的 訪問向量緩存(Access Vector Cache)（AVC）信息：# ausearch -m avc -c httpd

29、audit2allow 實用工具可以通過從日誌中搜集有關被拒絕的操作，然後生成 SELinux 策略允許的規則，例如：

• 產生一個人類可讀的關於為什麼拒絕訪問的描述：# audit2allow -w -a查看允許被拒絕的類型強制規則：# audit2allow -a創建一個自定義模塊：# audit2allow -a -M mypolicy，其中 -M 選項將創建一個特定名稱的強制類型文件（.te），並編譯這個規則到一個策略包（.pp）中：mypolicy.pp mypolicy.te安裝自定義模塊：# semodule -i mypolicy.pp

30、配置單個進程（域）運行在許可模式：# semanage permissive -a httpd_t

31、如果不再希望一個域在許可模式中：# semanage permissive -d httpd_t

32、禁用所有的許可域：# semodule -d permissivedomains

33、啟用 SELinux MLS 策略：# yum install selinux-policy-mls。 在 /etc/selinux/config 中：

SELINUX=permissive

SELINUXTYPE=mls

確保 SELinux 運行在許可模式：# setenforce 0

使用 fixfiles 腳本來確保在下一次重啟時文件將被重新標籤化：# fixfiles -F onboot # reboot

34、創建一個帶有特定 MLS 範圍的用戶：# useradd -Z staff_u john

使用 useradd 命令，映射新用戶到一個已存在的 SELinux 用戶（上面例子中是 staff_u）。

35、查看 SELinux 和 Linux 用戶之間的映射：# semanage login -l

36、為用戶定義一個指定的範圍：# semanage login --modify --range s2:c100 john

37、調整用戶家目錄上的標籤（如果需要的話）：# chcon -R -l s2:c100 /home/john

38、列出當前類別：# chcat -L

39、修改類別或者創建你自己的分類，修改如下文件：/etc/selinux/__/setrans.conf

40、以某個特定的文件、角色和用戶安全上下文來運行一個命令或者腳本：# runcon -t initrc_t -r system_r -u user_u yourcommandhere

• -t 是文件安全上下文-r 是角色安全上下文-u 是用戶安全上下文

41、在容器中禁用 SELinux：

• 使用 Podman：# podman run --security-opt label=disable ...使用 Docker：# docker run --security-opt label=disable ...

42、如果需要給容器提供完全訪問系統的權限：

• 使用 Podman：# podman run --privileged ...使用 Docker：# docker run --privileged ...

就這些了，你已經知道了答案。因此請相信我：不用恐慌，去打開 SELinux 吧。

Alex Callejas 是位於墨西哥城的紅帽公司拉丁美洲區的一名技術客服經理。作為一名系統管理員，他已有超過 10 年的經驗。在基礎設施強化方面具有很強的專業知識。對開源抱有熱情，通過在不同的公共事件和大學中分享他的知識來支持社區。天生的極客，當然他一般選擇使用 Fedora Linux 發行版。[這裡][11]有更多關於他的信息。

via: https://opensource.com/article/18/7/sysadmin-guide-selinux

作者：Alex Callejas 選題：lujun9972 譯者：qhwdw, FSSlc 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

閱讀更多 Linux中國 的文章

關鍵字: 有關 腳本語言 HTML