SELinux深度解析：从基础到策略编写实战

5星 · 超过95%的资源需积分: 50 145 浏览量更新于2024-07-09 2 收藏 3.69MB PDF 举报

身份认证购VIP最低享 7 折!

30元优惠券

"《SELinux详解-中文版》是一本专门针对Linux安全领域的深度指南，作者基于自身在SELinux领域多年的工作经验编撰而成。SELinux，全称为Security-Enhanced Linux，是一种在Linux操作系统中实现强制访问控制（MAC）的安全增强技术。本书旨在帮助读者理解和掌握这一技术，特别是编写、修改和管理SELinux策略。书中首先介绍SELinux的作用，强调其作为操作系统安全的重要组成部分，通过细化到应用级别的类型增强概念，解释了它是如何在Linux架构中运作，以及其核心机制是如何确保权限控制和资源隔离的。这部分内容对于理解SELinux如何在系统级别提升安全性至关重要。第二部分深入剖析了SELinux的自然策略语言——一种专为定义和管理安全规则而设计的语法和语义。这部分是本书的核心，涵盖了策略语言的细节，包括基本语法元素、规则的编写技巧，以及如何通过策略来指定不同主体（如用户、进程等）对客体（如文件、网络连接等）的访问权限。学习者将在此部分了解到如何制定适应特定应用场景的安全策略，以便有效地增强系统的保护能力。由于SELinux仍在持续发展，作者面临的挑战是既要保持内容的时效性，又要清晰地传授基础知识。因此，即使对Linux有基本了解的读者也能受益于本书，无论是系统管理员还是希望增强应用程序安全的开发者。理解SELinux策略语言和安全模型不仅有助于提高安全实践，还能深入认识其潜在的强大功能。《SELinux详解-中文版》是一本适合希望深入了解和应用SELinux的读者的实用教程，无论你是想深入研究，还是寻求提升Linux系统的安全性，都能从中找到所需的知识和技能。全书内容详实，结合实例，旨在引导读者逐步掌握这一强大的安全工具，以提升Linux操作系统的整体安全性。"

资源详情

资源推荐

能要数文件密码了，访问该文件需要知道文件所有者创建的密码。大多数 DAC 机制都是基于

用户标识的访问控制属性。几乎所有现代操作系统都有一种基于用户标识的 DAC 实现。在

Linux 中，非常流行和广为人知的是所有者-组-其它许可模式机制。同样，常见的访问控制

列表机制也是通用的方法。

所有 DAC 机制都有一个共同的弱点，就是它们不能识别自然人与计算机程序之间最基本

的区别。DAC 通常是尝试模仿所有权原理。例如：文件所有者拥有指定文件的访问权限，只

授予可以信任的用户访问文件[4]。假设你可以信任某个用户（通常被认为是无效的事情），

计算机工作方法不是完全模仿的真实世界，只是按照用户指定的指令在计算机上执行操作，

因此，我们不能向用户提供授予和使用访问的能力，相反，我们提供软件程序实现这个功能，

在 internet 时代变得特别明显，程序总是充满缺陷，或干脆就是恶意程序，这就是特洛伊

木马问题，首次是在 1970 年被认定，到目前的流行病毒、蠕虫、间谍软件，都是它的变体。

简单点说就是，如果一个用户被授权允许访问，意味着程序也被授权访问，如果程序被授权

访问，那么恶意程序也将有同样的访问权。

[4]所有者使用它们的辨别力判断是否授予访问权。

DAC 假设一开始所有的程序都是值得信赖且没有缺陷的，早期的计算机研究社团大都是

住在高校中的一群人（教师、学生），因此目前发展的技术可能都是建立在那个假设的环境

基础之上的，然而，实际上，我们知道在计算机科学历史上还没有出现过那种开始环境，人

类的天性总是喜欢攻击有弱点的软件。

1.2.3.强制访问控制的起源

从 1970 年到 1980 年，最主要的精力都使用在寻找解决恶意软件或有缺陷的软件的问题

上，目标是实现 MAC，它的访问控制判断基础不是某个人或系统管理员的辨别力，我们想实

现一种有组织的安全策略来控制对客体的访问，不受个别程序的行为影响。军方在这方面积

累了大量的经验，主要是保护政府的机密数据。大多数常见的 MAC 机制实现了数据多层安全，

图 1-2 显示了一个多层安全模型的组成结构。

（点击查看大图）图 1-2：多层安全模型

多层安全（MLS）一般都是基于 Bell-LaPadula 模型[5]，在 MLS 模型中，所有主体和客

体都标记有安全级别，在我们的例子中，我们有一个 PUBLIC 和 SECRET 安全级别，这两个级

别代表了数据的敏感程度（SECRET 的敏感度比 PUBLIC 的敏感度要高），在 MLS 中，主体总

是可以读写客体，除此之外，主体还可以读取底层客体（向下读取），写入高层客体（向上

写入），然而，主体可能永远不会读取高层客体（无向上读取），也不写入底层客体（无向

下写入），意思就是信息可以从底层流向高层，但不能反过来，因此要保护高层数据的机密

性。

[5]http://csrc.nist.gov/publications/history/bell76.pdf

MLS 是对访问控制最根本的改变，不再是数据所有者任意地决定谁可以访问客体，此外，

对大部分被认为不受信任的软件我们也有足够的安全措施，因为信息流规则阻止了不正当的

数据访问，在 MLS 中，通过固定的规则决定数据如何共享，而不管用户的请求（更重要的是

他们运行的程序），MLS 实现了大部分 MAC 机制，在目前流行的操作系统中普遍存在，MAC

机制与 MLS 类似，也是经过深思熟虑建立起来的，它实现了小部分固定的安全属性。

MLS 的主要弱点是它严格地，以不可改变的方式实现了单一安全目标（即保护政府文件

敏感数据的机密性），不是所有的操作系统安全业务都与数据机密性有关，大多数都对保密

政府文件（包括许多处理保密数据的政府系统）的强硬的简单的模型不肯顺从，为了在 MLS

中扩大这个目标，主体必须被授予安全策略特权（即违反无旁路的原则），并信任不会违反

策略的目的，这个不屈性和有限的焦点使 MLS 和类似的 MAC 机制实现了充足的要求。

1.2.4.更好的强制访问控制

SELinux 实现了一个灵活的 MAC 机制，叫做类型强制（TE），正如你将会看到的，类型

强制提供强壮的强制安全能够适应大量的安全目标，类型强制提供一种思想，将访问控制到

对某一个程序级别去，在某种程度上，它允许组织定义适合他们系统的安全策略。在类型强

制下，所有主体和客体都有一个类型标识符与它们关联，要访问某个客体，主体的类型必须

为客体的类型进行授权，而不管主体的用户标识符。

使 SELinux 比 MLS 解决方案更高级的是规则决定了基于类型的访问控制，这不是预先定

义好的，也不是硬编码在内核中的。默认情况下，SELinux 不允许任何访问，组织可以开发

任意数量的规则指定允许什么，这样使 SELinux 可以适应非常多样的安全策略。

定义允许访问一个系统收集的规则叫做 SELinux 策略，物理上，SELinux 策略是一个特

殊的文件，它包括 SELinux 内核将会实施的所有规则，策略文件是从一套源文件编译而来的，

正如你马上会看到的，系统与系统之间的 SELinux 策略是可以不同的，在启动过程中，策略

被载入内核，然后内核就会使用它作为访问控制决定的根据。

注意：在计算机安全领域，术语策略是一个非常大的范围。在这一章中，定义一个组织

的安全目标和目的时我们使用这个术语。然而，在谈到载入内核的 SELinux 规则集（和包括

它们的文件）时也使用策略这个术语。我们尽力避免使用这个词时产生冲突，但不能完全避

免这个问题，如果遇到有歧义的地方，我们通常会明确地编写 SELinux 策略来避免冲突。

SELinux 为 Linux 带来了灵活的类型强制和一套基于角色的访问控制，以及非强制的 MLS。

这个灵活性和适应性强的 MAC 安全已经内置到主流的 Linux 操作系统中，说明 SELinux 是如

此有希望的提高安全性的技术。

1.2.5.SELinux 的发展

SELinux 起源于自 1980 开始的微内核和操作系统安全的研究，这两条研究线路最后形

成了一个叫做的分布式信任计算机（Distribute Trusted Mach (DTMach)）的项目，它融合

了早期研究项目的成果（LOCK【锁】，它包含一组安全内核类型强制；Trusted Mach【信任

计算机】，它将多层安全控制合并到计算机微内核中）。美国国家安全局的研究组织参加了

DTMach 项目，付出了巨大努力，并且继续参与了大量的后续安全微内核项目。最终，这些

工作和努力导致了一个新的项目产生，那就是 Flask，它支持更丰富的动态类型的强制机制。

由于不同平台对这这项技术没有广泛使用，NAS 认为需要在大量的社团中展示这个技术，

以说明它的持久生命力，并收集广泛的使用支持意见。在 1999 年夏天，NSA 开始在 Linux

内核中实现 Flask 安全架构，在 2000 年十二月，NSA 发布了这项研究的第一个公共版本，

叫做安全增强的 Linux。因为是在主流的操作系统中实现的，所以 SELinux 开始受到 Linux

社区的注意，SELinux 最迟是在 2.2.x 内核中以一套内核补丁的形式发布的。

随着 2001 年 Linux 内核高级会议在加拿大渥太华顺利召开，Linux 安全模型（LSM[7]）

项目开始为 Linux 内核创建灵活的框架，允许不同的安全扩展添加到 Linux 中。NSA 和

SELinux 社区是 SELinux 的主要贡献者，SELinux 帮助 LSM 实现了大量的需求，为了与 LSM

一起工作，NSA 开始修改 SELinux 使用 LSM 框架。2002 年八月 LSM 核心特性被集成到 Linux

内核主线，同时被合并到 Linux 2.6 内核。2003 年八月，NSA 在开源社区的帮助下，完成了

SELinux 到 LSM 框架的迁移，至此，SELinux 进入 Linux 2.6 内核主线，SELinux 已经成为

一种全功能的 LSM 模块，包括在核心 Linux 代码集中。

[7]http://lsm.immunix.org/

数个 Linux 发行版开始在 2.6 内核中不同程度使用 SELinux 特性，但最主要是靠 Red Hat

发起的 Fedora Core 项目才使 SELinux 具备企业级应用能力，NSA 和 Red Hat 开始联合集成

SELinux，将其作为 Fedora Core Linux 发行版的一部分。在 Red Hat 参与之前，SELinux

总是作为一个附加的软件包，需要专家级任务才能进行集成。Red Hat 开始采取行动让

SELinux 成为主流发行版的一部分，完成了用户空间工具和服务的修改，默认开启增强的安

全保护。从 Fedora Core 2 开始，SELinux 和它的支持基础架构以及工具得到改进。在 2005

年早些时候，Red Hat 发布了它的 Enterprise Linux 4（REL 4），在这个版本中，SELinux

默认就是完全开启的，SELinux 和强制访问控制已经进入了主流操作系统和市场。

SELinux 仍然是一个相对较新和复杂的技术，重要的研究和开发在继续不断地改进它的

功能。

1.3.小结

应用软件是有缺陷的，并且在可预见的未来仍然是有缺陷的，尽管如此，我们必须找到

创建安全系统的方法，不管这些缺陷是否存在。没有更好的底层操作系统安全的支持真正安

全是实现不了的，SELinux 的目标是为主流操作系统提供改良的安全性。

引用监视原理在操作系统中通常用来描述访问控制，在引用监视程序中，资源被封装为

明确的客体，在主体（即进程）和客体之间的访问通过引用确认机制按照系统安全策略进行

判决。

操作系统有两类访问控制：任意访问控制（DAC）和强制访问控制（MAC）。标准 Linux

安全是一种 DAC，SELinux 为 Linux 增加了一个灵活的和可配置的的 MAC。

DAC 最根本的弱点是主体容易受到多种多样的恶意软件的攻击，MAC 就是避免这些攻击

的出路，大多数 MAC 特性组成了多层安全模型。

SELinux 实现了一个更灵活的 MAC 形式，叫做类型强制和一个非强制的多层安全形式。

练习

1、建立一个 SELinux 系统，使用附录 A"获得 SELinux 示例策略"中的指令安装 strict

示例策略。

第 2 章：概念

SELinux 访问控制机制和策略语言的详细内容非常广泛，将在后面的章节中进行描述。

但 SELinux的基本概念和目标是相当简单的，在这一章中，我们将学习SELinux 的安全概念，

并在这些概念后进行练习。要有效使用和应用 SELinux 访问控制，理解其概念是非常必要的，

这一章主要集中介绍 SELinux 的访问控制特性和类型强制（TE），同时我们也简要地介绍了

一下非强制的多层安全机制。

2.1.类型强制的安全上下文

所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。

在 SELinux 中，访问控制属性叫做安全上下文。所有客体（文件、进程间通讯通道、套接字、

网络主机等）和主体（进程）都有与其关联的安全上下文，一个安全上下文由三部分组成：

用户、角色和类型标识符。常常用下面的格式指定或显示安全上下文：

用户:角色:类型

这个字符串标识符中的每个元素使用 SELinux 策略语言进行定义，后面我们会对策略语

言进行详细的描述，现在只需要理解一个有效的安全上下文必须要有一个有效的用户、角色

和类型标识符，通过策略编写器定义标识符，每一个标识符的命名空间正交的，因此，用户、

角色和类型的标识符可能相同，但不合理，也不建议这么定义。

安全上下文示例

SELinux 对系统中的许多命令做了修改，通过添加一个-Z 选项显示客体和主体的安全上

下文，例如：ls -Z 显示文件系统客体的安全上下文，ps -Z 显示进程的安全上下文，另一

个有用的命令是 id，它显示了你的 shell 的安全上下文（即你当前的用户、角色和类型），

下面的例子显示了一个运行 SELinux 的 shell 安全上下文：

$id -Z

joe:user_r:user_t

你可以使用本章中我们列出的这些命令研究你自己的 SELinux 系统。

2.1.1.对比 SELinux 和标准 Linux

至此，比较标准 Linux 和 SELinux之间的访问控制属性显得非常有用，为了使表述简化，

我们只固定讨论文件系统客体如文件和目录。在标准 Linux 中，主体的访问控制属性是与进

程通过在内核中的进程结构关联的真实有效的用户和组 ID，这些属性通过内核利用大量工

具进行保护，包括登陆进程和 setuid 程序，对于客体（如文件），文件的 inode 包括一套

剩余246页未读，继续阅读

94那抹微笑

粉丝: 0
资源: 1

SELinux深度解析：从基础到策略编写实战

SELinux详解.pdf

SELinux详解中文版

详解Android Selinux 权限及问题

requires: selinux-policy >= 3.13.1-229.el7_6.12 installed: selinux-policy-3.

openstack-selinux-0.8.26-1.el7.noarch.rpm

警告：/var/cache/yum/x86_64/7/extras/packages/container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm: 头V3 RSA/SHA256 Signature, 密钥 ID f4a80eb5: NOKEY container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm 的公钥尚未安装

policycoreutils-python 被 container-selinux-2:2.119.2-1.911c772.el7_8.noarch

linux中导出container-selinux-2.74.2-1.911c772.el7_8.noarch

selinux-policy-3.13.1-268.el7_9.2.noarch

centos7搭建openstack需要那些扩展包，请列出并给我压缩包

centos-6.3-i386-bin-dvd1.iso 镜像文件

libsepol-2.5-10.el7.x86_64.rpm

selinux权限配置指南.pdf

setsebool: SELinux is disabled.

红帽7.9安装docker

android selinux 详解中文版 pdf

AndroidManifest.xml修改SELinux

linux7.6安装docker20

error: package: 1:nginx-1.20.1-10.el7.x86_64 (/nginx-1.20.1-10.el7.x86_64) r

最新资源