Selinux enforcing详解

一、Selinux enforcing优势

Selinux是一种Mandatory Access Control系统，通过对系统资源、进程和用户进行细粒度的访问控制，能够大大增加系统的安全性。在Enforcing模式下，Selinux会强制执行策略，拒绝所有未经授权的操作。使用Selinux enforcing有以下几个优势：

1、维护完整性：Selinux enforcing通过限制进程对调用的资源的访问来保持系统的完整性。如果一个进程试图修改它没有权限的文件或目录，则该操作将被阻止。

$ echo "Hello Selinux" > /tmp/test
$ chcon -t httpd_sys_content_t /tmp/test
$ ls -lZ /tmp/test
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /tmp/test
$ echo "Hello World" > /tmp/test
bash: /tmp/test: Permission denied

2、拒绝攻击：Selinux enforcing能够对系统中产生的攻击进行自动阻止，避免非授权访问。

3、减少人为错误：通过限制进程和用户对资源的访问，Selinux enforcing能够防止用户或进程对系统资源进行不恰当的操作。

二、Selinux enforcing的工作机制

Selinux enforcing的工作原理是基于许多不同的组件，包括策略、标签和更高级别的安全模块。这些组件协同工作，来保护系统免受未经授权的访问。

1、Policy：策略是Selinux enforcing的核心组件，定义了哪些进程可以访问哪些资源，以及他们可以在系统上执行哪些操作。Selinux策略是以二进制格式存储在系统上的，可以使用semanage或audit2allow等工具对策略进行修改。

# 查看当前selinux策略
$ getenforce 
Enforcing

# 查看selinux策略类型
$ sestatus 
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      31

2、Label：Selinux enforcing使用安全标记来标识资源，以及哪些进程可以访问这些资源。标记是以的Binary Long Object（BLOB）形式存储在系统上的，可以通过getsebool或chcon命令查看或修改标记内容。

$ ls -lZ /var/logs/
drwxr-xr-x. root root system_u:object_r:var_log_t:s0   audit
drwxr-xr-x. root root system_u:object_r:var_log_t:s0   chrony
-rw-r--r--. root root system_u:object_r:var_log_t:s0   faillog
-rw-------. root root system_u:object_r:var_log_t:s0   lastlog
-rw-r--r--. root root system_u:object_r:var_log_t:s0   tallylog
$ chcon -t httpd_sys_content_t /var/www/html
$ ls -lZ /var/www/html
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

3、Module：安全模块是Selinux enforcing中的高级别组件，用于对系统进行更高级别的保护。例如，当一个新的应用程序使用系统资源时，Selinux enforcing会从存储在系统中的模块中自动选择需要的安全功能，以保护系统免受攻击。

三、Selinux enforcing常见问题解决

Selinux enforcing可能会带来一些影响，包括文件访问权限受限和进程启动问题。下面介绍一些常见的问题和解决方案。

1、文件访问权限受限：由于Selinux enforcing的限制，有时会导致文件访问不到或修改不了，可以通过chcon命令来变更文件属性。

# 禁止httpd访问/tmp/myfile
$ chcon -t httpd_sys_content_t /tmp/myfile
$ ls -Z /tmp/myfile
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /tmp/myfile

# 恢复httpd访问/tmp/myfile
$ chcon -t httpd_sys_rw_content_t /tmp/myfile
$ ls -Z /tmp/myfile
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_rw_content_t:s0 /tmp/myfile

2、进程启动问题：如果一个进程无法启动，可能是Selinux enforcing的限制导致的。可以通过设置Selinux enforcing参数来禁用或放宽限制。

# 查看Selinux enforcing参数
$ getsebool httpd_can_network_connect
httpd_can_network_connect --> off

# 允许httpd网络连接
$ setsebool httpd_can_network_connect on

四、Selinux enforcing应用场景

Selinux enforcing广泛应用于互联网公司、金融机构、政府和军事部门等领域，用于保护系统免受未经授权的访问。

例如，在Web服务器应用程序中，Selinux enforcing可以保护静态文件、数据库和脚本免受未经授权的访问。此外，通过使用“后门”和其他未经授权的入口点进行入侵的攻击也可以被阻止。

五、结论

Selinux enforcing是一种强制访问控制系统，它能够以细粒度的方式对系统资源、进程和用户进行访问控制。Selinux enforcing虽然在使用中可能受到一定的限制，但它的强大功能可以帮助用户保护系统免受攻击，提高系统的安全性。在构建和维护系统时，使用Selinux enforcing可以使用户不必担心多重攻击和隐蔽漏洞的问题。