SeLinux背景
-
SeLinux是什么几睛?
?? SeLinux全稱為:Security Enhance Linux(安全增強(qiáng)Linux),由美國(guó)國(guó)家安全局針對(duì)在現(xiàn)有的Linux的安全機(jī)制基礎(chǔ)上研發(fā)的一個(gè)全新的Linux安全訪問機(jī)制其垄,通過Selinux允許系統(tǒng)管理員更加靈活地進(jìn)行安全策略設(shè)置。由于Selinux的安全策略的極大地增強(qiáng)的安全防護(hù)效果,所以在Linux 2.6 內(nèi)核之后憨颠,SeLinux被加入到內(nèi)核集成中氮趋,目前大部分的Linux發(fā)行版本默認(rèn)或建議開啟Selinux,如CentOS鸭你、RHEL屈张。
-
解決什么問題?
??Linux一切皆是文件袱巨,如果操作者(用戶阁谆、進(jìn)程、資源)進(jìn)行操作(讀愉老、寫场绿、執(zhí)行)一個(gè)文件,則必須要獲得該文件的操作權(quán)限嫉入。但是有一些進(jìn)程的運(yùn)行用戶為root或者被操作文件目錄為777權(quán)限焰盗,這個(gè)基礎(chǔ)的安全策略則面臨挑戰(zhàn)璧尸,假設(shè)該進(jìn)程軟件存在一個(gè)0 day漏洞,通過該漏洞入口則有可能獲得到整個(gè)服務(wù)器的權(quán)限熬拒。一般而言爷光,一個(gè)進(jìn)程軟件需要操作的目錄、資源澎粟、端口應(yīng)該是有限的蛀序,在啟動(dòng)之前就已經(jīng)被確定下來,不太可能出現(xiàn)一個(gè)進(jìn)程服務(wù)需要獲取全部的權(quán)限活烙。如果存在一個(gè)機(jī)制可以限制進(jìn)程在有限的范圍進(jìn)行操作哼拔,即便該進(jìn)程存在漏洞并且運(yùn)行在root用戶權(quán)限下,那么也只能影響該進(jìn)程軟件的安全瓣颅,而不出現(xiàn)系統(tǒng)權(quán)限的安全問題倦逐。SeLinux的出現(xiàn)就是為了解決類似權(quán)限不夠細(xì)化的問題而產(chǎn)生的一個(gè)安全解決方案。
-
本文目的:
??在《SeLinux理論在Redis下實(shí)踐》中宫补,我將分成理論與實(shí)踐兩個(gè)部分來講解檬姥,希望通過該文章可能化解大家對(duì)于Selinux難于配置的誤解,通過SeLinux這個(gè)強(qiáng)大的內(nèi)核模塊來增強(qiáng)我們的安全服務(wù)粉怕。
第一部分:主要介紹Selinux的相關(guān)知識(shí)以及一些常用工具的使用健民;
第二部分:使用Selinux來阻止Redis越權(quán)操作,如果僅關(guān)注如何在實(shí)際中運(yùn)用贫贝,可以直接跳過下文秉犹,直接到SeLinux理論在Redis下實(shí)踐:第2部分閱讀。
SeLinux防護(hù)流程
-
安全理念
??Selinux的安全理念:進(jìn)程 主體所在的域對(duì)客體的資源上下文權(quán)限訪問稚晚。
??一個(gè)進(jìn)程對(duì)某個(gè)文件進(jìn)行讀取時(shí)崇堵,先取出該進(jìn)程(主體)所在的域權(quán)限,然后取出目標(biāo)文件(客體)的資源上下文權(quán)限客燕,通過匹配這兩個(gè)權(quán)限(域權(quán)限鸳劳、資源上下文權(quán)限)是否一致,從而決定是否允許通過該安全策略也搓,如果允許則繼續(xù)判斷該文件的讀寫權(quán)限與用戶權(quán)限是否匹配赏廓,即普通的權(quán)限判斷。
??舉個(gè)例子:張三是A公司一名技術(shù)骨干傍妒,A公司此時(shí)還是小公司幔摸,任何員工都可以出入公司各個(gè)地方,甚至修改財(cái)務(wù)處的財(cái)務(wù)報(bào)表颤练。隨時(shí)A公司的壯大(引入Selinux)既忆,規(guī)章制度完善,公司內(nèi)的員工行為就會(huì)受到約束。這時(shí)尿贫,張三再去財(cái)務(wù)處的財(cái)務(wù)報(bào)表時(shí),會(huì)先讀取張三所在技術(shù)部門的權(quán)限列表是否具有財(cái)務(wù)報(bào)表修改權(quán)限踏揣,由于技術(shù)部門無賬務(wù)修改權(quán)限庆亡,所以張三也自然無法修改財(cái)務(wù)報(bào)表。
-
流程圖
下面以Redis為例:當(dāng)redis-server通過讀取配置文件(/etc/redis/redis.conf)進(jìn)行啟動(dòng)服務(wù)捞稿,當(dāng)Selinux處于開啟enforce狀態(tài)時(shí)又谋,會(huì)觸發(fā)Selinux安全策略檢查,整體流程如下:
啟動(dòng)命令: redis-server /etc/redis/redis.conf
由于Redis_t具有redis_conf_t的類型娱局,因此該例子將會(huì)繼續(xù)判斷該文件是否允許該用戶讀取彰亥。
-
概念介紹
下面將介紹幾個(gè)與Selinux相關(guān)的概念:
1.主體 (Subject):SELinux管理的主體為進(jìn)程, 如上文提到的redis-server
2.客體(Object): 主體需要訪問的對(duì)象衰齐,一般指文件資源任斋,如上文的 /etc/redis/redis.conf
3.域(Domain):主體的運(yùn)行空間,如上文的redis_t域耻涛,該域下有多種類型:redis_exec_t废酷、redis_conf_t、redis_var_run_t等
4.類型(Type): 客體的權(quán)限標(biāo)識(shí)抹缕,如上文的redis_conf_t澈蟆。
5.上下文(Context):一種類型(type)對(duì)哪些文件相關(guān)上下文具有的權(quán)限(讀、寫卓研、執(zhí)行趴俘、改名、獲取屬性等)奏赘,如對(duì)文件/etc/redis/redis.conf所在的目錄具有(ioctl read write getattr lock add_name remove_name search open)寥闪,對(duì)該文件具有(ioctl read writecreategetattr setattr lockappendunlinklinkrename open)
-
小結(jié)
我們結(jié)合Redis的流程總結(jié)一下各個(gè)概念之間的關(guān)系:
通過上圖我們注意到,redis_exec_t與redis_conf_t都是屬于redis_t這個(gè)域磨淌,只是他們類型擁有的權(quán)限不一樣橙垢,有一些允許讀、不允許寫伦糯、有一些只允許執(zhí)行柜某。所以:
type:在文件資源 (Object) 上面稱為類型 (Type)
domain:在主體程序 (Subject) 則稱為領(lǐng)域 (domain)
使用
該小節(jié)主要介紹一些常用的命令及工具的使用,讓我們更好地利用selinux來靈活定義安全策略敛纲,從而實(shí)現(xiàn)服務(wù)安全喂击。
-
自帶工具的使用
- 查看selinux的運(yùn)行狀態(tài)信息
有三種狀態(tài):
disable:禁用(從禁用變成啟用,需要修改/etc/selinux/config淤翔,并重啟機(jī)器)
Enforcing:?jiǎn)⒂肧elinux翰绊,拒絕訪問及記錄行為
Permissive:只記錄行為,不拒絕訪問,在調(diào)試時(shí)非常有用监嗜,排查是否selinux導(dǎo)致某個(gè)行為受限
命令:sestatus
# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
命令:getenforce
# getenforce
enforcing
- 修改某個(gè)文件的權(quán)限類型:
命令:chcon谐檀,如將某個(gè)文件賦予httpd_sys_content_t
# chcon -v -t httpd_sys_content_t /var/www/html/index.html
changing security context of ‘/var/www/html/index.html’
命令restorecon:恢復(fù)某個(gè)恢復(fù)到默認(rèn)的權(quán)限
# restorecon -v /var/www/html/index3.html
restorecon reset /var/www/html/index3.html context unconfined_u:object_r:admin_home_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
- 查看各個(gè)資源的selinux權(quán)限標(biāo)識(shí)
查看文件:ls -Z
# ls -Zld /root/
dr-xr-x---. 7 system_u:object_r:admin_home_t:s0 root root 257 Mar 20 16:29 /root/
查看進(jìn)程:ps -Z
# ps -fZ -p 3934
LABEL UID PID PPID C STIME TTY TIME CMD
system_u:system_r:redis_t:s0 root 3934 1 0 Mar19 ? 00:01:35 /usr/local/bin/redis-server 0.0.0.0:6379
查看用戶: id -Z
# id -Za
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
標(biāo)識(shí)結(jié)構(gòu):system_u:object_r:admin_home_t:s0
共有四個(gè)部分組合,用戶:用戶角色:類型:等級(jí)
-
管理工具的使用
下面介紹的工具需要安裝如下組件(以Centos7 為例):
yum install setools-console
yum -y install policycoreutils-python
- 命令:seinfo
作用:是用來查詢SELinux的策略提供多少相關(guān)規(guī)則
示例:
# seinfo -t|grep redis
redis_client_packet_t
redis_initrc_exec_t
redis_t
redis_conf_t
redis_port_t
redis_log_t
redis_var_lib_t
redis_var_run_t
redis_server_packet_t
redis_unit_file_t
redis_exec_t
- 命令:sesearch
作用:查詢SELinux策略的規(guī)則詳情裁奇,如:我們需要知道redis_t允許的類型列表有哪些桐猬,這些類型都具有哪些操作。
# sesearch -s redis_t --allow
Found 402 semantic av rules:
allow kernel_system_state_reader proc_t : file { ioctl read getattr lock open } ;
allow domain mandb_cache_t : file { ioctl read getattr lock open } ;
allow domain abrt_t : process { signull getattr } ;
allow corenet_unlabeled_type unlabeled_t : tcp_socket recvfrom ;
allow domain base_file_type : dir { getattr search open } ;
allow domain abrt_t : lnk_file { read getattr } ;
allow redis_t netif_t : netif { tcp_recv tcp_send udp_recv udp_send ingress egress } ;
allow domain base_ro_file_type : lnk_file { read getattr } ;
allow domain unconfined_domain_type : dccp_socket recvfrom ;
allow domain var_run_t : lnk_file { read getattr } ;
....
- 命令:semanage
作用:默認(rèn)目錄的安全上下文查詢與修改刽肠,如查看redis_conf_t有哪些默認(rèn)路徑
查詢
# semanage fcontext -l|grep redis_conf_t
/etc/redis-sentinel.* regular file system_u:object_r:redis_conf_t:s0
添加
# semanage fcontext -a -t redis_conf_t /user/local/etc/redis
再查詢
# semanage fcontext -l|grep redis_conf_t
/etc/redis-sentinel.* regular file system_u:object_r:redis_conf_t:s0
/user/local/etc/redis all files system_u:object_r:redis_conf_t:s0
- 命令:getsebool
作用:列出目前系統(tǒng)上面的所有布爾值條款設(shè)置為開啟或關(guān)閉值溃肪,有一些服務(wù)具有很多擴(kuò)展上下文,需要開啟或者關(guān)閉音五。
# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> off
semanage也是可以列出惫撰,并且會(huì)有該擴(kuò)展上下文的描述
# semanage boolean -l | grep httpd_enable_homedirs
httpd_enable_homedirs (off , off) Allow httpd to enable homedirs
- 命令:setsebool
# setsebool httpd_enable_homedirs=1
# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> on
參考資料:
- https://wizardforcel.gitbooks.io/vbird-linux-basic-4e/content/143.html
- https://blog.51cto.com/yolynn/1896149
- https://wangchujiang.com/linux-command/c/seinfo.html
- http://c.biancheng.net/view/1156.html
如需幫助請(qǐng)聯(lián)系我:一虛道長(zhǎng)(lailaiji@163.com)
