SELinux的研究和实践

前言,这篇文章是操作系统安全的大作业,分享是一种美德

SELinux分析报告

一.SELinux的基础理论

SELinux是一种Linux的内核模块,本质是Linux的一个安全子系统,本质是改进了对内核对象的服务的访问控制,改进了对进程初始化,继承和程序执行的访问控制,改进了对文件系统,目录和打开文件描述的访问控制还改进了对端口,信息和网络接口的访问控制,总而言之就是最大限度减少系统中服务进程可以访问的资源,通过政策和规则规定 访问资源对象,通过安全上下文来决定主体进程是否有权利进行访问。SELinux的基本原则是MAC机制,其主要采用的手段是RBAC(基于角色的访问控制机制)和TE(类型加强),MLS(多级安全),基于标识的访问控制(IBAC),在SELinux当中每一条访问都要经过访问规则的允许,而访问规则存储在访问策略当中,访问策略又是由源代码(用户配置文件)进行编译之后生成的二进制文件存放到内存当中,内核通过在内存中的策略库进行使用

SELinux内核的体系主要是两个体系组成,一个是LSM,其作用是通过HOOK函数组成安全控制框架,一个是FLASK其作用是安全策略到访问控制的转换

在实际情况下,一个操作首先是通过DAC的ACL验证,接着通过SELinux权限认证

过程如下首先策略强制服务会检查AVC当中是否有策略的决策缓存,如果有就直接得到结果,如果没有那么收集主体和客体手机安全上下文,然后将安全上下文发送给安全服务器,安全服务器负责决策,决策返回给AVC进行缓存并返回给策略强制服务器。

判断途径如下:



下面说一说FLASK的主要组成,其分为两个服务 一个是客体管理负责客体安全上下文和执行实施策略决定,另外一个是安全服务器,用来产生策略决定

安全服务必须满足RBAC(基于角色的访问控制机制)和TE(类型加强),MLS(多级安全),基于标识的访问控制(IBAC)策略

其中RBAC和IBAC不用说,是两种访问控制的方法,其中TE是将主体和客体定义一个类型,详细说说MLS

MLS给用户提供了不同等级安全水平来访问系统,采用的安全模型是BLP模型(组织低级别读取高级别的安全数据),

安全上下文有安全标识(SID)和用户ID,角色,MLS分级等

SELinux 的工作图



二.探寻SELinux其中的配置

查看是否开启SELinux


默认是没有开启的

从SELinux的工作模式说起

Enforcing:强制模式。违反SELinux 规则的行为将被阻止,无法继续操作并记录到日志中。

permissive:宽容模式。违反 SELinux 规则的行为只会记录到日志中。还可以继续操作

disabled:关闭 SELinux。

SELinux 工作模式可以在 /etc/selinux/config 中设定。


这其中提到了日志,日志的服务进程是auditd.service ,这个服务将保存所产生的日志文件,所以不关闭

打开selinux


查看SELinux的配置状态


查看SELinux当中的规则


查看进程中的安全上下文


其中system_u 是USER字段用来记录身份

system_r 是程序的ROLE字段

再后面的字段是程序的TYPE字段,表示这个程序属于那种字段的

最后的s0是安全级别


SELinux的接口配置文件

Avc的代码在avc.c当中,与服务器接口定义 avc_ss.h当中,hook函数定义avc.h当中






查看一个策略中的文件结构



查看proc当中的安全上下文


Current代表的是当前安全上下文,prev代表的是上次执行前是的上下文,exec代表的是下一次的安全上下文

查看默认的安全上下文




查看一个安全策略的源代码




查看SELinux的日志


这样查看太麻烦了使用工具进行查看






三.探究SELinux实际对系统的影响

1.修改上下文对文件访问的影响

修改上下文


因为这两个文件的类型不同,所以在执行服务的时候会造成进程和文件之间的上下文不匹配的情况造成a.html不能访问




为了让我们的a.html能够访问,在这里修改a.html的上下文和b的上下文一样


使用chcon进行修改之后再进行访问


访问成功



[if !supportLists]2. [endif]通过配置SELinux来配置对FTP服务器的影响

查看SELinux策略

getsebool -a 发现是关闭的


匿名登录ftp发现在ftp设置好的情况下是不能创建新的文件夹

这个时候的vsftp.conf当中的内容




关闭SELinux并修改目录权限可以成功


证明和SELinux有关

那么如何在开启SELinux的情况下开启ftp匿名创建文件夹呢?

此时不能匿名上传的根本原因是/var/ftp/pub 文件夹没有写入的功能


修改此时的文件夹的上下文


发现成功可以成功写入新的文件


四.参考文献

NSA —— SELinux 官方介绍

Linux 中国 —— SELinux 入门

鸟哥的Linux私房菜:基础学习篇 第四版 —— SELinux 初探

Linux安全体系分析与编程

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 20170904 SELinux
    SELinux的基本概念设置SELinux 一、SELinux的基本概念 (一)定义: SELinux:Secur...
    哈喽别样阅读 587评论 0 1
  • SELinux
    1.SELinux: Secure Enhanced Linux  DAC:Discretionary Acce...
    尛尛大尹阅读 730评论 0 1
  • SELinux常用指令
    SELinux的有四种工作类型:(不同版本不同类型) strict:centos5,每个进程都受到selinux的...
    beeworkshop阅读 1,400评论 0 1
  • 龙江秋韵二首(新韵)
    龙江秋韵二首(新韵) 其一 秋红夏绿兴安美,山远林深野鹿肥。 群鸟回旋寻旧梦,轻烟缭绕试新炊。 花团栈道环环景,光...
    海岳行ZMZ9595阅读 529评论 6 3
  • SQLAlchemy手册(四)- 关联查询
    上一回,我们介绍了,常用的单查询SQL,这里,我们介绍下,怎样进行关联查询,就是join的使用数据库使用表信息:t...
    橘猫吃不胖阅读 2,110评论 0 53