SeLinux背景
-
SeLinux是什么?
SeLinux全称为:Security Enhance Linux(安全增强Linux),由美国国家安全局针对在现有的Linux的安全机制基础上研发的一个全新的Linux安全访问机制,通过Selinux允许系统管理员更加灵活地进行安全策略设置。由于Selinux的安全策略的极大地增强的安全防护效果,所以在Linux 2.6 内核之后,SeLinux被加入到内核集成中,目前大部分的Linux发行版本默认或建议开启Selinux,如CentOS、RHEL。
-
解决什么问题?
Linux一切皆是文件,如果操作者(用户、进程、资源)进行操作(读、写、执行)一个文件,则必须要获得该文件的操作权限。但是有一些进程的运行用户为root或者被操作文件目录为777权限,这个基础的安全策略则面临挑战,假设该进程软件存在一个0 day漏洞,通过该漏洞入口则有可能获得到整个服务器的权限。一般而言,一个进程软件需要操作的目录、资源、端口应该是有限的,在启动之前就已经被确定下来,不太可能出现一个进程服务需要获取全部的权限。如果存在一个机制可以限制进程在有限的范围进行操作,即便该进程存在漏洞并且运行在root用户权限下,那么也只能影响该进程软件的安全,而不出现系统权限的安全问题。SeLinux的出现就是为了解决类似权限不够细化的问题而产生的一个安全解决方案。
-
本文目的:
在《SeLinux理论在Redis下实践》中,我将分成理论与实践两个部分来讲解,希望通过该文章可能化解大家对于Selinux难于配置的误解,通过SeLinux这个强大的内核模块来增强我们的安全服务。
第一部分:主要介绍Selinux的相关知识以及一些常用工具的使用;
第二部分:使用Selinux来阻止Redis越权操作,如果仅关注如何在实际中运用,可以直接跳过下文,直接到SeLinux理论在Redis下实践:第2部分阅读。
SeLinux防护流程
-
安全理念
Selinux的安全理念:进程 主体所在的域对客体的资源上下文权限访问。
一个进程对某个文件进行读取时,先取出该进程(主体)所在的域权限,然后取出目标文件(客体)的资源上下文权限,通过匹配这两个权限(域权限、资源上下文权限)是否一致,从而决定是否允许通过该安全策略,如果允许则继续判断该文件的读写权限与用户权限是否匹配,即普通的权限判断。
举个例子:张三是A公司一名技术骨干,A公司此时还是小公司,任何员工都可以出入公司各个地方,甚至修改财务处的财务报表。随时A公司的壮大(引入Selinux),规章制度完善,公司内的员工行为就会受到约束。这时,张三再去财务处的财务报表时,会先读取张三所在技术部门的权限列表是否具有财务报表修改权限,由于技术部门无账务修改权限,所以张三也自然无法修改财务报表。
-
流程图
下面以Redis为例:当redis-server通过读取配置文件(/etc/redis/redis.conf)进行启动服务,当Selinux处于开启enforce状态时,会触发Selinux安全策略检查,整体流程如下:
启动命令: redis-server /etc/redis/redis.conf
由于Redis_t具有redis_conf_t的类型,因此该例子将会继续判断该文件是否允许该用户读取。
-
概念介绍
下面将介绍几个与Selinux相关的概念:
1.主体 (Subject):SELinux管理的主体为进程, 如上文提到的redis-server
2.客体(Object): 主体需要访问的对象,一般指文件资源,如上文的 /etc/redis/redis.conf
3.域(Domain):主体的运行空间,如上文的redis_t域,该域下有多种类型:redis_exec_t、redis_conf_t、redis_var_run_t等
4.类型(Type): 客体的权限标识,如上文的redis_conf_t。
5.上下文(Context):一种类型(type)对哪些文件相关上下文具有的权限(读、写、执行、改名、获取属性等),如对文件/etc/redis/redis.conf所在的目录具有(ioctl read write getattr lock add_name remove_name search open),对该文件具有(ioctl read writecreategetattr setattr lockappendunlinklinkrename open)
-
小结
我们结合Redis的流程总结一下各个概念之间的关系:
通过上图我们注意到,redis_exec_t与redis_conf_t都是属于redis_t这个域,只是他们类型拥有的权限不一样,有一些允许读、不允许写、有一些只允许执行。所以:
type:在文件资源 (Object) 上面称为类型 (Type)
domain:在主体程序 (Subject) 则称为领域 (domain)
使用
该小节主要介绍一些常用的命令及工具的使用,让我们更好地利用selinux来灵活定义安全策略,从而实现服务安全。
-
自带工具的使用
- 查看selinux的运行状态信息
有三种状态:
disable:禁用(从禁用变成启用,需要修改/etc/selinux/config,并重启机器)
Enforcing:启用Selinux,拒绝访问及记录行为
Permissive:只记录行为,不拒绝访问,在调试时非常有用,排查是否selinux导致某个行为受限
命令:sestatus
# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
命令:getenforce
# getenforce
enforcing
- 修改某个文件的权限类型:
命令:chcon,如将某个文件赋予httpd_sys_content_t
# chcon -v -t httpd_sys_content_t /var/www/html/index.html
changing security context of ‘/var/www/html/index.html’
命令restorecon:恢复某个恢复到默认的权限
# restorecon -v /var/www/html/index3.html
restorecon reset /var/www/html/index3.html context unconfined_u:object_r:admin_home_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
- 查看各个资源的selinux权限标识
查看文件:ls -Z
# ls -Zld /root/
dr-xr-x---. 7 system_u:object_r:admin_home_t:s0 root root 257 Mar 20 16:29 /root/
查看进程:ps -Z
# ps -fZ -p 3934
LABEL UID PID PPID C STIME TTY TIME CMD
system_u:system_r:redis_t:s0 root 3934 1 0 Mar19 ? 00:01:35 /usr/local/bin/redis-server 0.0.0.0:6379
查看用户: id -Z
# id -Za
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
标识结构:system_u:object_r:admin_home_t:s0
共有四个部分组合,用户:用户角色:类型:等级
-
管理工具的使用
下面介绍的工具需要安装如下组件(以Centos7 为例):
yum install setools-console
yum -y install policycoreutils-python
- 命令:seinfo
作用:是用来查询SELinux的策略提供多少相关规则
示例:
# seinfo -t|grep redis
redis_client_packet_t
redis_initrc_exec_t
redis_t
redis_conf_t
redis_port_t
redis_log_t
redis_var_lib_t
redis_var_run_t
redis_server_packet_t
redis_unit_file_t
redis_exec_t
- 命令:sesearch
作用:查询SELinux策略的规则详情,如:我们需要知道redis_t允许的类型列表有哪些,这些类型都具有哪些操作。
# sesearch -s redis_t --allow
Found 402 semantic av rules:
allow kernel_system_state_reader proc_t : file { ioctl read getattr lock open } ;
allow domain mandb_cache_t : file { ioctl read getattr lock open } ;
allow domain abrt_t : process { signull getattr } ;
allow corenet_unlabeled_type unlabeled_t : tcp_socket recvfrom ;
allow domain base_file_type : dir { getattr search open } ;
allow domain abrt_t : lnk_file { read getattr } ;
allow redis_t netif_t : netif { tcp_recv tcp_send udp_recv udp_send ingress egress } ;
allow domain base_ro_file_type : lnk_file { read getattr } ;
allow domain unconfined_domain_type : dccp_socket recvfrom ;
allow domain var_run_t : lnk_file { read getattr } ;
....
- 命令:semanage
作用:默认目录的安全上下文查询与修改,如查看redis_conf_t有哪些默认路径
查询
# semanage fcontext -l|grep redis_conf_t
/etc/redis-sentinel.* regular file system_u:object_r:redis_conf_t:s0
添加
# semanage fcontext -a -t redis_conf_t /user/local/etc/redis
再查询
# semanage fcontext -l|grep redis_conf_t
/etc/redis-sentinel.* regular file system_u:object_r:redis_conf_t:s0
/user/local/etc/redis all files system_u:object_r:redis_conf_t:s0
- 命令:getsebool
作用:列出目前系统上面的所有布尔值条款设置为开启或关闭值,有一些服务具有很多扩展上下文,需要开启或者关闭。
# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> off
semanage也是可以列出,并且会有该扩展上下文的描述
# semanage boolean -l | grep httpd_enable_homedirs
httpd_enable_homedirs (off , off) Allow httpd to enable homedirs
- 命令:setsebool
# setsebool httpd_enable_homedirs=1
# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> on
参考资料:
- https://wizardforcel.gitbooks.io/vbird-linux-basic-4e/content/143.html
- https://blog.51cto.com/yolynn/1896149
- https://wangchujiang.com/linux-command/c/seinfo.html
- http://c.biancheng.net/view/1156.html
如需帮助请联系我:一虚道长(lailaiji@163.com)
