Linux进程安全：权限管理与SELinux的基础指南

# 1. Linux进程安全简介

Linux操作系统因其开源和灵活性，在服务器和嵌入式领域中得到了广泛的应用。随着其在关键业务系统中的应用不断增长，系统的安全性变得愈发重要。Linux进程安全是保障系统安全的核心组成部分之一，它涉及到对运行中程序的监控、管理和保护，确保进程在受控的环境中执行，防止恶意进程对系统造成损害。

在Linux系统中，进程安全的管理通常依托于一系列安全机制，如访问控制列表（ACL）、强制访问控制（MAC）以及安全增强型Linux（SELinux）等。本章将简要介绍Linux进程安全的基本概念，为后续更深入的权限管理和SELinux配置与管理章节打下基础。

接下来的章节将探讨如何通过Linux内核提供的安全特性来管理用户权限，以及如何利用SELinux提升系统安全性。

# 2. Linux权限管理基础

### 2.1 用户和组的概念

Linux系统中，用户和组是权限管理的基础。用户账户是系统中用于个人身份识别和操作权限分配的实体。组账户则用于将用户分组，简化权限的分配和管理。

#### 2.1.1 用户账户的创建和管理

创建用户账户是为了在Linux系统中增加一个可以登录和拥有操作权限的个体。这可以通过命令行工具如`useradd`或`adduser`完成。以下是使用`useradd`命令创建新用户的示例：

sudo useradd -m -s /bin/bash newuser

这里的参数`-m`指示系统为新用户创建一个主目录，`-s`指定用户的默认shell为`/bin/bash`。`newuser`是新建用户的用户名。

除了创建用户，我们还需要管理用户账户，比如更改用户密码、切换用户或删除用户。对于更改用户密码，可以使用`passwd`命令：

sudo passwd newuser

该命令会提示输入并确认新密码。密码应符合系统的密码策略。

切换用户可以使用`su`命令：

su - newuser

这将切换当前会话到新用户。

要删除用户账户及其主目录，可以使用：

sudo userdel -r newuser

其中`-r`参数会删除用户的主目录及其内容。

#### 2.1.2 组账户的创建和管理

组账户是将多个用户归类在一起的逻辑实体。我们用`groupadd`命令创建新的组账户，`gpasswd`命令管理组成员：

sudo groupadd newgroup

创建一个名为`newgroup`的新组。

sudo gpasswd -a newuser newgroup

将用户`newuser`添加到`newgroup`组中。

移除用户组成员的操作是：

sudo gpasswd -d newuser newgroup

组账户的删除可以使用：

sudo groupdel newgroup

### 2.2 权限和所有权

Linux中的文件和目录的权限定义了谁能够对它们进行读取、写入和执行。所有权则定义了文件和目录的所有者和所属组。

#### 2.2.1 文件和目录的权限设置

文件权限有三种基本类型：读（r）、写（w）、执行（x）。这些权限分别针对用户（owner）、组（group）和其他人（others）进行设置。使用`chmod`命令可以修改文件权限。

chmod 755 filename

上面的命令把`filename`文件的权限设置为`rwxr-xr-x`，即文件所有者拥有读、写和执行权限，所属组和其他用户只拥有读和执行权限。

使用`chown`命令可以改变文件的所有者和组：

sudo chown username:groupname filename

此命令将`filename`文件的所有权更改为`username`用户和`groupname`组。

#### 2.2.2 更改和查看所有权

查看文件和目录的所有者及所属组可以使用`ls -l`命令，输出结果中第一和第四字段分别表示文件所有者和所属组：

ls -l filename

要更改文件或目录的所有者，可以使用`chown`命令：

sudo chown newuser filename

将`filename`文件的所有者更改为`newuser`。

表2-1：基本的文件权限及其意义

| 权限 | 意义 |
| --- | --- |
| r (4) | 读取文件或进入目录 |
| w (2) | 写入文件或修改目录 |
| x (1) | 执行文件或访问目录 |

### 2.3 特殊权限位和文件属性

特殊权限位如suid、sgid和sticky bit用于提供更高级的权限控制。

#### 2.3.1 设置特殊权限位（suid, sgid, sticky bit）

suid（Set User ID）使得用户在执行具有suid权限的程序时，临时具有程序所有者的权限。

chmod u+s filename

sgid（Set Group ID）与suid类似，只不过作用于组权限。

chmod g+s directoryname

sticky bit用于限制目录中文件的删除和重命名，只有文件所有者、目录所有者和超级用户才能更改。

chmod +t directoryname

#### 2.3.2 使用chattr和lsattr管理文件属性

Linux提供了`chattr`和`lsattr`命令来管理文件的扩展属性。这些属性可以进一步控制文件的行为和安全性。

设置文件不可更改属性：

sudo chattr +i filename

查看文件属性：

lsattr filename

表2-2：一些重要的文件扩展属性

| 属性 | 作用 |
| --- | --- |
| +i | 文件变得不可更改 |
| +a | 文件变得只能追加内容 |

Linux权限管理是确保系统安全性的基石。通过理解用户和组的概念、文件和目录的权限设置、以及特殊权限位和文件属性，我们可以构建起一个坚固的权限框架，以保护数据不被未授权访问或篡改。在此基础上，我们可以进一步探索SELinux等高级安全模块来增强系统安全策略。

# 3. SELinux的基本原理

SELinux（Security-Enhanced Linux）是一个安全模块，它能够针对Linux操作系统提供强健的访问控制策略。其目的是增强系统安全性，特别是在服务器环境中。在本章节中，我们将深入探讨SELinux的基本原理，包括其工作模式、策略和规则，以及安全上下文的管理。

## 3.1 SELinux的工作模式

### 3.1.1 强制访问控制（MAC）概念

强制访问控制（Mandatory Access Control，简称MAC）是一种信息流的访问控制机制，它不同于传统的由用户或程序直接控制文件或资源的访问权限。在MAC模式下，系统强制实施预定义的安全策略，即使是有权限的用户也不能自由更改策略或访问控制设置。

MAC通过为系统中的每个对象分配标签（例如文件、目录、端口、进程等），并为每个主体（通常是用户或程序）分配安全级别，实现访问控制