幾乎可以肯定每個人都聽說過 SELinux (更準確的說,嘗試關閉過),甚至某些過往的經驗讓您對 SELinux 產生了偏見。不過隨着日益增長的 0-day 安全漏洞,或許現在是時候去了解下這個在 Linux 內核中已經有多年曆史的強制性訪問控制系統(MAC)了。
SELinux 與強制訪問控制系統
SELinux 全稱 Security Enhanced Linux (安全強化 Linux),是 MAC (Mandatory Access Control,強制訪問控制系統)的一個實現,目的在於明確的指明某個進程可以訪問哪些資源(文件、網絡端口等)。
強制訪問控制系統的用途在於增強系統抵禦 0-Day ***(利用尚未公開的漏洞實現的***行爲)的能力。所以它不是網絡防火牆或 ACL 的替代品,在用途上也不重複。
舉例來說,系統上的 Apache 被發現存在一個漏洞,使得某遠程用戶可以訪問系統上的敏感文件(比如 /etc/passwd 來獲得系統已存在用戶),而修復該安全漏洞的 Apache 更新補丁尚未釋出。此時 SELinux 可以起到彌補該漏洞的緩和方案。因爲 /etc/passwd 不具有 Apache 的訪問標籤,所以 Apache 對於/etc/passwd 的訪問會被 SELinux 阻止。
相比其他強制性訪問控制系統,SELinux 有如下優勢:
控制策略是可查詢而非程序不可見的。
可以熱更改策略而無需重啓或者停止服務。
可以從進程初始化、繼承和程序執行三個方面通過策略進行控制。
控制範圍覆蓋文件系統、目錄、文件、文件啓動描述符、端口、消息接口和網絡接口。
那麼 SELinux 對於系統性能有什麼樣的影響呢?根據 Phoronix 在 2009 年使用 Fedora 11 所做的橫向比較來看,開啓 SELinux 僅在少數情況下導致系統性能約 5% 的降低。
SELinux 是不是會十分影響一般桌面應用及程序開發呢?原先是,因爲 SELinux 的策略主要針對服務器環境。但隨着 SELinux 8年來的廣泛應用,目前SELinux 策略在一般桌面及程序開發環境下依然可以同時滿足安全性及便利性的要求。以剛剛發佈的 Fedora 15 爲例,筆者在搭建完整的娛樂(包含多款第三方原生 Linux 遊戲及 Wine 遊戲)及開發環境(Android SDK + Eclipse)過程中,只有 Wine 程序的首次運行時受到 SELinux 默認策略的阻攔,在圖形化的“SELinux 故障排除程序”幫助下,點擊一下按鈕就解決了。
瞭解和配置 SELinux
1. 獲取當前 SELinux 運行狀態
getenforce
可能返回結果有三種:Enforcing、Permissive 和 Disabled。Disabled 代表 SELinux 被禁用,Permissive 代表僅記錄安全警告但不阻止可疑行爲,Enforcing 代表記錄警告且阻止可疑行爲。
目前常見發行版中,RHEL 和 Fedora 默認設置爲 Enforcing,其餘的如 openSUSE 等爲 Permissive。
2. 改變 SELinux 運行狀態
setenforce [ Enforcing | Permissive | 1 | 0 ]
該命令可以立刻改變 SELinux 運行狀態,在 Enforcing 和 Permissive 之間切換,結果保持至關機。一個典型的用途是看看到底是不是 SELinux 導致某個服務或者程序無法運行。若是在 setenforce 0 之後服務或者程序依然無法運行,那麼就可以肯定不是 SELinux 導致的。
若是想要永久變更系統 SELinux 運行環境,可以通過更改配置文件 /etc/sysconfig/selinux 實現。注意當從 Disabled 切換到 Permissive 或者 Enforcing 模式後需要重啓計算機併爲整個文件系統重新創建安全標籤(touch /.autorelabel && reboot)。
3. SELinux 運行策略
配置文件 /etc/sysconfig/selinux 還包含了 SELinux 運行策略的信息,通過改變變量 SELINUXTYPE 的值實現,該值有兩種可能:targeted 代表僅針對預製的幾種網絡服務和訪問請求使用 SELinux 保護,strict 代表所有網絡服務和訪問請求都要經過 SELinux。
RHEL 和 Fedora 默認設置爲 targeted,包含了對幾乎所有常見網絡服務的 SELinux 策略配置,已經默認安裝並且可以無需修改直接使用。
若是想自己編輯 SELinux 策略,也提供了命令行下的策略編輯器 seedit 以及 Eclipse 下的編輯插件 eclipse-slide 。
4. coreutils 工具的 SELinux 模式
常見的屬於 coreutils 的工具如 ps、ls 等等,可以通過增加 Z 選項的方式獲知 SELinux 方面的信息。
如 ps auxZ | grep lldpad
system_u:system_r:initrc_t:s0 root 1000 8.9 0.0 3040 668 ? Ss 21:01 6:08 /usr/sbin/lldpad -d
如 ls -Z /usr/lib/xulrunner-2/libmozjs.so
-rwxr-xr-x. root root system_u:object_r:lib_t:s0 /usr/lib/xulrunner-2/libmozjs.so
以此類推,Z 選項可以應用在幾乎全部 coreutils 工具裏。
Apache SELinux 配置實例
1. 讓 Apache 可以訪問位於非默認目錄下的網站文件
首先,用 semanage fcontext -l | grep '/var/www' 獲知默認 /var/www 目錄的 SELinux 上下文:
/var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
從中可以看到 Apache 只能訪問包含 httpd_sys_content_t 標籤的文件。
假設希望 Apache 使用 /srv/www 作爲網站文件目錄,那麼就需要給這個目錄下的文件增加 httpd_sys_content_t 標籤,分兩步實現。
首先爲 /srv/www 這個目錄下的文件添加默認標籤類型:semanage fcontext -a -t httpd_sys_content_t '/srv/www(/.*)?' 然後用新的標籤類型標註已有文件:restorecon -Rv /srv/www 之後 Apache 就可以使用該目錄下的文件構建網站了。
其中 restorecon 在 SELinux 管理中很常見,起到恢復文件默認標籤的作用。比如當從用戶主目錄下將某個文件複製到 Apache 網站目錄下時,Apache 默認是無法訪問,因爲用戶主目錄的下的文件標籤是 user_home_t。此時就需要 restorecon 將其恢復爲可被 Apache 訪問的 httpd_sys_content_t 類型:
restorecon -v /srv/www/foo.com/html/file.html
restorecon reset /srv/www/foo.com/html/file.html context unconfined_u:object_r:user_home_t:s0->system_u:object_r:httpd_sys_content_t:s0
2. 讓 Apache 偵聽非標準端口
默認情況下 Apache 只偵聽 80 和 443 兩個端口,若是直接指定其偵聽 888 端口的話,會在 service httpd restart 的時候報錯:
Starting httpd: (13)Permission denied: make_sock: could not bind to address [::]:888
(13)Permission denied: make_sock: could not bind to address 0.0.0.0:888
no listening sockets available, shutting down
Unable to open logs
這個時候,若是在桌面環境下 SELinux 故障排除工具應該已經彈出來報錯了。若是在終端下,可以通過查看 /var/log/messages 日誌然後用 sealert -l加編號的方式查看,或者直接使用 sealert -b 瀏覽。無論哪種方式,內容和以下會比較類似:
SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 888.
***** Plugin bind_ports (92.2 confidence) suggests *************************
If you want to allow /usr/sbin/httpd to bind to network port 888
Then you need to modify the port type.
Do
# semanage port -a -t PORT_TYPE -p tcp 888
`where PORT_TYPE is one of the following: ntop_port_t, http_cache_port_t, http_port_t.`
***** Plugin catchall_boolean (7.83 confidence) suggests *******************
If you want to allow system to run with NIS
Then you must tell SELinux about this by enabling the 'allow_ypbind' boolean.
Do
setsebool -P allow_ypbind 1
***** Plugin catchall (1.41 confidence) suggests ***************************
If you believe that httpd should be allowed name_bind access on the port 888 tcp_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep httpd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp
可以看出 SELinux 根據三種不同情況分別給出了對應的解決方法。在這裏,第一種情況是我們想要的,於是按照其建議輸入:
semanage port -a -t http_port_t -p tcp 888
之後再次啓動 Apache 服務就不會有問題了。
這裏又可以見到 semanage 這個 SELinux 管理配置工具。它第一個選項代表要更改的類型,然後緊跟所要進行操作。詳細內容參考 Man 手冊
3. 允許 Apache 訪問創建私人網站
若是希望用戶可以通過在 ~/public_html/ 放置文件的方式創建自己的個人網站的話,那麼需要在 Apache 策略中允許該操作執行。使用:
setsebool httpd_enable_homedirs 1
setsebool 是用來切換由布爾值控制的 SELinux 策略的,當前布爾值策略的狀態可以通過 getsebool 來獲知。
默認情況下 setsebool 的設置只保留到下一次重啓之前,若是想永久生效的話,需要添加 -P 參數,比如:
setsebool -P httpd_enable_homedirs 1
總結
希望通過這一個簡短的教程,掃除您對 SELinux 的誤解甚至恐懼,個人感覺它並不比 iptables 策略複雜。如果希望您的服務器能有效抵擋 0-day ***時,那麼 SELinux 或許就是一個值得考慮的緩和方案。