[文檔] RedHat Enterprise Linux 4新安全機(jī)制(SELINUX)

admin

Security Enhanced Linux（以下簡(jiǎn)稱(chēng)為SELinux）是RedHat Enterprise Linux 4（以下簡(jiǎn)稱(chēng)為RHEL4）上新的安全機(jī)制，在以往的RHEL系統(tǒng)中從未使用，這使得很多資深的系統(tǒng)管理員已開(kāi)始使用RHEL4時(shí)弄得一頭霧水，出現(xiàn)了很多莫名其妙的錯(cuò)誤，隨后尋找?guī)椭�才發(fā)現(xiàn)原來(lái)是SELinux弄的。由于SELinux有著嚴(yán)格的安全控制和管理權(quán)使得系統(tǒng)管理員一時(shí)不知如何設(shè)定，索性就關(guān)閉了，很是可惜。究其原因，是當(dāng)一個(gè)事物出現(xiàn)時(shí)，如果他給你帶來(lái)了麻煩，增加了工作量，便對(duì)其產(chǎn)生了厭惡感，這是人之常情。本文暫不探討SELinux 復(fù)雜的內(nèi)部運(yùn)作機(jī)制，只是先讓讀者對(duì)SELinux有個(gè)初步的認(rèn)識(shí)和了解，希望能在您的心里對(duì)SELinux留下一個(gè)好的印象，并認(rèn)識(shí)到盡管一開(kāi)始時(shí)有些麻煩，但當(dāng)你熟悉了它以后，系統(tǒng)的管理會(huì)變得更輕松。
二．認(rèn)識(shí)DAC與MAC

在介紹SELinux之前，讀者需要了解兩個(gè)基本的系統(tǒng)訪問(wèn)控制機(jī)制：

☆ DAC（Discretionary access control，自主訪問(wèn)控制）：DAC機(jī)制就是指對(duì)象（比如程序、文件或進(jìn)程等）的的擁有者可以任意的修改或授予此對(duì)象相應(yīng)的權(quán)限。例如傳統(tǒng)Linux，Windows等。

☆ MAC（Mandatory Access Control，強(qiáng)制訪問(wèn)控制）：MAC機(jī)制是指系統(tǒng)不再允許對(duì)象（比如程序、文件或文件夾等）的擁有者隨意修改或授予此對(duì)象相應(yīng)的權(quán)限，而是透過(guò)強(qiáng)制的方式為每個(gè)對(duì)象統(tǒng)一授予權(quán)限，例如SELinux。

圖1 DAC與MAC的不同（引自 Security Features in Red Hat Enterprise Linux 4）

三．SELinux的出身

National Security Agency（美國(guó)國(guó)家安全局,以下簡(jiǎn)稱(chēng)為NSA）一直非常關(guān)注計(jì)算機(jī)操作系統(tǒng)的安全領(lǐng)域。畢竟他們的工作任務(wù)之一就是要確保美國(guó)政府使用的計(jì)算機(jī)的安全，保證在其面臨沒(méi)完沒(méi)了的攻擊時(shí)仍能安全可靠的運(yùn)行。NSA發(fā)現(xiàn)大部分操作系統(tǒng)的安全機(jī)制，包括Windows和大部分UNIX以及Linux系統(tǒng)，都是以DAC機(jī)制為安全認(rèn)證基礎(chǔ)的。由于DAC機(jī)制的設(shè)計(jì)很不利于系統(tǒng)安全，NSA便一直致力于開(kāi)發(fā)出一套好的MAC安全認(rèn)證機(jī)制。

MAC 并不是由NSA發(fā)明的，它很早就出現(xiàn)了，但由于MAC的諸多問(wèn)題，使得大型系統(tǒng)提供商對(duì)于將MAC集成到自己的系統(tǒng)中始終沒(méi)有興趣。即使是那些集成了 MAC 的提供商也通常是將其做為可選件提供，而沒(méi)有默認(rèn)安裝使用。原因很多，一是因?yàn)镸AC還不夠靈活，二是對(duì)于像Windows客戶(hù)系統(tǒng)這種面向普通用戶(hù)的系統(tǒng)來(lái)說(shuō)，MAC加大了系統(tǒng)管理和使用的復(fù)雜性，得不償失。于是NSA的為了推廣MAC，確立了MAC下一步的研究方向，為使MAC更靈活并且并更容易被嵌入到操作系統(tǒng)。

起初，NSA的MAC系統(tǒng)是在LOCK系統(tǒng)上基于類(lèi)型增強(qiáng)而且策略靈活的強(qiáng)制訪問(wèn)控制體系，并且隨后發(fā)展為兩個(gè)基于Mach的系統(tǒng)：DTMach和DTOS，后來(lái)在猶他大學(xué)的微內(nèi)核操作系統(tǒng)Fluke上實(shí)現(xiàn)出來(lái)，并命名為Flask安全體系。NSA希望有操作系統(tǒng)商能支持其開(kāi)發(fā)的MAC機(jī)制，但由于所有的這些工作都是基于實(shí)驗(yàn)室，極少可以在實(shí)驗(yàn)室之外來(lái)進(jìn)行嘗試，以查看這些思想在真實(shí)的應(yīng)用程序的可行性，加之為保密項(xiàng)目，因此很難說(shuō)服某個(gè)系統(tǒng)商采用，誰(shuí)也不敢頭一個(gè)吃這個(gè)螃蟹。于是，NSA決定選擇開(kāi)源代碼的Linux系統(tǒng)為實(shí)際市場(chǎng)試驗(yàn)系統(tǒng)。NSA把Flask安全體系集成到Linux操作系統(tǒng)中，SELinux便孕育而生，為了真正配合SELinux在Linux系統(tǒng)上的應(yīng)用實(shí)施， NSA將SELinux作為一個(gè)開(kāi)放源碼項(xiàng)目發(fā)布出來(lái)，從而能獲得更加廣泛的開(kāi)發(fā)者和用戶(hù)支持。

毫無(wú)意外，使用真正的系統(tǒng)讓 NSA 研究人員可以更好的理解SELinux在實(shí)際中的應(yīng)用，而其中體現(xiàn)出的問(wèn)題是在試驗(yàn)系統(tǒng)中無(wú)法找到的。NSA的這一開(kāi)源措施，在開(kāi)源界猶如一顆原子彈，業(yè)界普遍對(duì)此是歡迎的，但也不能說(shuō)NSA是為此作出了犧牲，因?yàn)檫@是個(gè)雙贏的舉措，因?yàn)闆](méi)有Linux這個(gè)試驗(yàn)田，NSA的SELinux很難修得正果。另外選擇Linux不是毫無(wú)理由的：首先，Linux系統(tǒng)擁有著眾多的使用用戶(hù)，而且很多用戶(hù)本身具有很高的技術(shù)水平；其次，Linux基于開(kāi)源，這樣使得 SELinux不屬用任何商業(yè)組織或公司，防止依此來(lái)牟利，也不利于SELinux的發(fā)展；最后，對(duì)于Linux，它作為新興的操作系統(tǒng)，在桌面領(lǐng)域很難打敗Windows,因此它主要面對(duì)服務(wù)器領(lǐng)域，而安全就顯得至關(guān)重要，SELinux正好是它所迫切需要的。RedHat 是個(gè)很聰明的公司，F(xiàn)edora是其領(lǐng)導(dǎo)的Linux開(kāi)源組織。其實(shí)說(shuō)穿了，F(xiàn)edora就是其企業(yè)發(fā)行版的實(shí)驗(yàn)田。RedHat首先選擇了Fedora Core 2作為第一個(gè)SELinux實(shí)驗(yàn)操作系統(tǒng)，但是預(yù)設(shè)為不開(kāi)啟，但SELinux在其平臺(tái)上的表現(xiàn)還是取得了成功。到了Fedora Core3，SELinux已經(jīng)默認(rèn)為開(kāi)啟，然后經(jīng)過(guò)修改，我們便在RHEL4上也看到SELinux。

另外需要補(bǔ)充說(shuō)明的是，讀者不要以為僅僅存在SELinux這一個(gè)MAC項(xiàng)目，還有很多其他的MAC實(shí)現(xiàn)項(xiàng)目，用于其他不同的系統(tǒng)中。

四．SELinux原理

在SELinux 中，每個(gè)對(duì)象(程序、檔案、進(jìn)程等)都擁有一個(gè)Security Context(安全上下文)，它就像標(biāo)簽一樣，貼在每個(gè)對(duì)象身上，上面記載著這個(gè)對(duì)象所具有的權(quán)限。而我們可以通過(guò)制定Security Policy(安全策略)來(lái)定義這些Security Context，從而定義哪種對(duì)象具有哪些權(quán)限。當(dāng)一個(gè)對(duì)象需要執(zhí)行某個(gè)動(dòng)作時(shí)，系統(tǒng)會(huì)依照Security Policy所制定的內(nèi)容來(lái)檢查相對(duì)應(yīng)的權(quán)限，如果全部權(quán)限都符合的話，系統(tǒng)就會(huì)允許這個(gè)操作的執(zhí)行，否則都將遭到拒絕或失敗。這些過(guò)程不會(huì)影響到其它正常運(yùn)行的對(duì)象，系統(tǒng)會(huì)保證它們的安全系統(tǒng)結(jié)構(gòu)以及穩(wěn)定運(yùn)行。這里還要說(shuō)明的是，到目前為止，SELinux系統(tǒng)中的某個(gè)對(duì)象需要執(zhí)行某個(gè)動(dòng)作的時(shí)，系統(tǒng)權(quán)限認(rèn)證不僅僅單獨(dú)根據(jù)Security Policy所制定的內(nèi)容來(lái)檢查，同時(shí)還要根據(jù)傳統(tǒng)DAC來(lái)檢測(cè)，只有DAC以及SELinux全部認(rèn)證通過(guò)了才能進(jìn)行正常操作。

如果讀者了解chroot，那么就能很好的理解SELinux。 chroot 就是把某程序置于文件系統(tǒng)下的某一處，而當(dāng)運(yùn)行的時(shí)候，就不會(huì)離開(kāi)這個(gè)文件系統(tǒng)的部份，也就是不會(huì)影響整個(gè)的文件系統(tǒng)。就好比如果把所有的對(duì)象都分配到不同的domain（域）中。而不同的 domain 卻彼此獨(dú)立，而且如果沒(méi)有經(jīng)過(guò)授權(quán)的對(duì)象就不可以在domain之間傳遞數(shù)據(jù)，也就是說(shuō)對(duì)象不能沒(méi)有授權(quán)就由domain A 跳到 domain B中，情況就如 chroot 一樣。

在傳統(tǒng)的類(lèi)Unix中，root擁有著所有權(quán)限，有些用戶(hù)使用采用SELinux的Linux時(shí)發(fā)現(xiàn)自己就是root，但為何有些事情卻不允許執(zhí)行。其實(shí)說(shuō)穿了就是因?yàn)?root 所屬的 domain 沒(méi)有授權(quán)可以跳到所需要執(zhí)行某程序的domain下，也就無(wú)法做希望的工作了。

在 SELinux系統(tǒng)啟動(dòng)的時(shí)候，會(huì)加載一個(gè)叫做 policy,* 的安全策略權(quán)限文件，這文件內(nèi)中就定義了相關(guān)權(quán)限。如果你之前設(shè)定了 SELinux 是不能在開(kāi)機(jī)后轉(zhuǎn)回 permissive 模式的話，那你的 root 則可能無(wú)法修改當(dāng)中的設(shè)定！也就是說(shuō)root在SELinux中已經(jīng)不具有默認(rèn)的所有權(quán)限。那到底這有什么好處呢？其實(shí)好處就如 chroot 一樣把系統(tǒng)內(nèi)任何東西都加上一層保護(hù)層。那就算是入侵進(jìn)入了你的計(jì)算機(jī)，也只能在他破壞他入侵的這個(gè)domain環(huán)境！

對(duì)于RHEL4系統(tǒng)，如何檢測(cè)是否已經(jīng)安裝了SELinux呢。首先檢查你的Linux系統(tǒng)的核心是否有支持ACL的功能。因?yàn)長(zhǎng)inux系統(tǒng)并不是每一個(gè)版本的核心都有支持ACL的功能，而最簡(jiǎn)單的方法就是檢查系統(tǒng)目前的核心能否支持：

# cat /boot/config-2.6.9-11.EL | grep ACL
CONFIG_EXT2_FS_POSIX_ACL=y
CONFIG_EXT3_FS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
注：config-2.6.9-11.EL位置根據(jù)系統(tǒng)的不同而不同，這里用的是RHEL4.1。

此時(shí)如果能看到上面的幾項(xiàng)則表示已經(jīng)編譯到核心中,ext3文件系統(tǒng)已支持ACL功能，這些功能在編譯核心選項(xiàng)中也可以找到。

五．傳統(tǒng)Linux 與SELinux

傳統(tǒng)Linux的安全認(rèn)證基于內(nèi)核的DAC機(jī)制，這種機(jī)制在遇到一個(gè)有缺陷或是惡意編寫(xiě)的程序時(shí)就會(huì)導(dǎo)致很大的問(wèn)題出現(xiàn)，尤其是對(duì)于 setuid/setgid這種權(quán)限的設(shè)計(jì)。有些程序員在程序設(shè)計(jì)時(shí)，當(dāng)需要設(shè)置執(zhí)行權(quán)限的時(shí)候，為了省事就直接用 setuid root，這樣的好處是給予程序最大的用戶(hù)權(quán)限r(nóng)oot來(lái)運(yùn)行，避免了因權(quán)限引起的問(wèn)題，大大簡(jiǎn)化程序的設(shè)計(jì)，但是這種方式是極其危險(xiǎn)的。本文已經(jīng)提及過(guò)，類(lèi)Unix系統(tǒng)中的root擁有絕對(duì)的權(quán)限，如果某個(gè)有缺陷的程序以root用戶(hù)運(yùn)行，可能會(huì)破壞系統(tǒng)文件甚至系統(tǒng)核心部分。如果是網(wǎng)絡(luò)服務(wù)程序，其漏洞很容易被黑客利用并發(fā)起攻擊，造成不可預(yù)知的后果。

SELinux的安全認(rèn)證基于內(nèi)核外的MAC機(jī)制，這種機(jī)制使得系統(tǒng)管理員可以定義整個(gè)系統(tǒng)的安全策略，這個(gè)策略可以基于其他因素，例如用戶(hù)的角色、程序的可信性及預(yù)期使用、程序?qū)⒁�使用的�?shù)據(jù)的類(lèi)型等等，來(lái)限制對(duì)象所具有的權(quán)限。當(dāng)你正確配置了SELinux系統(tǒng)，不正常的應(yīng)用程序只會(huì)影響自己權(quán)限內(nèi)的domain，而對(duì)其它domain中的對(duì)象沒(méi)有絲毫影響。其它用戶(hù)程序的安全性和他們的后臺(tái)程序仍然可以正常運(yùn)行，并保持著它們的安全系統(tǒng)結(jié)構(gòu)。例如你某個(gè)服務(wù)是以 root 的權(quán)限執(zhí)行的。而此服務(wù)存在著一個(gè)極嚴(yán)重的 bug ，而使得入侵者可以通過(guò)這個(gè)服務(wù)的漏洞進(jìn)入系統(tǒng)。但如果你的 Linux 系統(tǒng)有SELinux 保護(hù)的話，那么入侵者仍沒(méi)有辦法破壞整個(gè)系統(tǒng)，因?yàn)樗�被這個(gè)服務(wù)所屬的 domain 所限制。但是沒(méi)有 SELinux 保護(hù)的系統(tǒng)，它就可能因此而入侵整個(gè)系統(tǒng)，而產(chǎn)生不可預(yù)料的后果。

但是前提是要有好的安全原則，SELinux 最麻煩的就是需要配置一個(gè)好的Policy 才可以讓 SELinux 發(fā)揮效果。制定的太寬松會(huì)使 SELinux 毫無(wú)用武之地，而太嚴(yán)格又會(huì)讓使用者連日常工作都變的麻煩至極。NSA讓制定安全原則的工作由系統(tǒng)地發(fā)行者來(lái)做，而像Fedora、Redhat、 Novell SUSE 、Debian、Gentoo 等都制定了一套基本的安全原則用于自己的系統(tǒng)。

憑借著SELinux在Linux 上這一個(gè)十分重要技術(shù)的應(yīng)用，使其在加強(qiáng)了安全級(jí)別，傳統(tǒng)的Linux 安全級(jí)別一直是 C1 級(jí)或 C2 級(jí)，和 Windows 服務(wù)器的安全級(jí)別相同，而 SELinux 把 Linux 的安全級(jí)別提升至 B1 級(jí)，達(dá)到了基本的軍事級(jí)別。

在RHEL4 中，SELinux 與一系列因特網(wǎng)服務(wù)加以整合，包括 BIND、Network Time  Protocol (NTP)、Apache等，使得其優(yōu)點(diǎn)能夠更輕易地拓展。其要求極度安全環(huán)境的組織，可以于更多的應(yīng)用程序上實(shí)作更廣泛的SELinux 功能，甚至為

每一服務(wù)制定嚴(yán)格的SELinux 原則。。比如，傳統(tǒng)的Linux 系統(tǒng)若遭黑客侵入Web Server，可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓；但有了SELinux 的保護(hù)，我們可以很容易的建立一個(gè)只能在特定程序及特定的安全系絡(luò)中才能執(zhí)行的 Web 服務(wù)器，盡管Web Server被入侵，那么他也只能破壞這個(gè)Web Server，無(wú)法影響到其它的系統(tǒng)區(qū)域，將受害范圍減至最少。

六．SELinux在RHEL4上的安裝

下面對(duì)SELinux在RHEL 4上的安裝過(guò)程中加以介紹。在安裝過(guò)程中，會(huì)出現(xiàn)如圖3 的畫(huà)面，詢(xún)問(wèn)是否啟用SELinux，默認(rèn)安裝選項(xiàng)「Active」。

       圖2 安裝時(shí)SELinux 的選項(xiàng)

這3個(gè)選項(xiàng)的不同之處在于：

□ 已禁用：停用SELinux 功能

□ 警告：僅顯示警告訊息

□ 活躍（默認(rèn)值）：?jiǎn)��?dòng)SELinux 功能

系統(tǒng)是否啟用SELinux 的設(shè)定，記錄在/etc/selinux/config文件中（/etc/sysconfig/selinux為此文件的鏈接），安裝完成后，可檢查其中的內(nèi)容，便可得知系統(tǒng)SELinux現(xiàn)在的狀態(tài)。文件內(nèi)容如下：

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#       enforcing - SELinux security policy is enforced.

#       permissive - SELinux prints warnings instead of enforcing.

#       disabled - SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

#       targeted - Only targeted network daemons are protected.

#       strict - Full SELinux protection.

SELINUXTYPE=targeted

SELINUX 參數(shù)值：有「enforcing、permissive、disabled」分別對(duì)應(yīng)安裝時(shí)的

選項(xiàng)「活躍、警告、已禁用」。

SELINUXTYPE 參數(shù)值：有「targeted、strict」兩種

SELINUXTYPE=targeted：保護(hù)網(wǎng)絡(luò)相關(guān)服務(wù)。

SELINUXTYPE=strict：完整的保護(hù)功能，包含網(wǎng)絡(luò)服務(wù)、一般指令及應(yīng)用程序

注：RHEL 4 目前尚未支持strict policy，只提供targeted policy，如果您強(qiáng)行的將SELINUXTYPE=targeted改為strict，系統(tǒng)啟動(dòng)時(shí)將會(huì)出現(xiàn)以下的提示而無(wú)法啟動(dòng)。

                         圖3 強(qiáng)行修改機(jī)制導(dǎo)致無(wú)法啟動(dòng)

在/etc/selinux/targeted文件夾中定義的就是targeted屬性，它是RHEL 4 巳定義好的policy，這個(gè)targeted policy 的用途可為保護(hù)下列的網(wǎng)絡(luò)服務(wù)：

枯心樹(shù)

最怕看到代碼。。。頭暈。

匿名好友

我也很暈！

wwdahaiww

學(xué)習(xí)下

happyboy

看不懂也得留名

dreamfy

看不懂也得留名

zhuxiaolei87

看完頭有五個(gè)大了

fanxuebin

看不懂呀，哈哈，防火涂料產(chǎn)于www.zbxfqcc.com

yeo520

我頭都大了，我暈死了

downsman

表示看不懂

360養(yǎng)生網(wǎng)www.chuse360.com

337806951

一個(gè)頭比牛都大了！

sasen

路過(guò) 帶過(guò)�？纯�

3403935

到底有沒(méi)有用？

rxwww

內(nèi)部?jī)?yōu)惠券：wwww.vipyouhui.top

ycgz2008

看到這些密密麻麻的內(nèi)容，仿佛回到了學(xué)校，越看越瞌睡，到最后還是不懂