Linux Context如何保障安全

Linux Context 的安全机制与落地实践

一 核心原理

• 安全上下文 Context是内核在 SELinux 中为进程（主体）与文件/目录/端口/套接字（客体）打上的安全标签，格式为：user:role:type:level。访问控制以类型强制 Type Enforcement为核心：比较主体类型（进程的域 domain）与客体类型，只有策略中存在允许规则才放行；即便 **DAC（rwx/属主/属组）**允许，若 MAC 不允许仍会被拒绝。SELinux 有三种模式：Enforcing（拒绝并记录）、Permissive（仅记录放行）、Disabled（关闭）；常见策略为 targeted，仅对关键网络服务做强制约束。系统通过 **AVC（Access Vector Cache）**缓存决策以提升性能。

二 保障安全的关键手段

• 最小权限的域隔离：将服务放入受限域（如 httpd_t），仅允许访问与其业务相关的客体类型（如 httpd_sys_content_t 只读、httpd_sys_script_exec_t 可执行），即使服务被攻陷，横向移动与提权空间也被压缩。
• 端口与协议约束：端口也带类型标签，默认 http_port_t 仅包含 80/443/488/8008/8009/8443 等；若服务需监听 8080，应使用 semanage port 将端口加入该类型，避免以 root 降权或关闭 SELinux 的粗暴做法。
• 细粒度布尔开关：通过 setsebool 快速启用/禁用策略中的条件规则（如允许 httpd 发起网络连接、执行 CGI 等），在不改动类型的前提下适配业务变更。
• 文件/目录默认上下文与持久化：用 semanage fcontext 定义路径的正则匹配与默认类型，再用 restorecon -R 应用，确保重装、恢复或迁移后标签仍正确，避免因拷贝/打包导致类型丢失。
• 故障排查与审计：在 Permissive 模式下验证问题、用 ausearch/aureport 与 audit2why/audit2allow 分析 /var/log/audit/audit.log，定位被拒原因并生成最小化的自定义策略模块，减少“过度放行”。

三 常用操作清单

• 查看与切换 SELinux 状态
  • 查看：getenforce；临时切换：setenforce 0|1（仅在非 Disabled 时有效）
  • 永久配置：/etc/selinux/config 中设置 SELINUX=enforcing|permissive|disabled，修改后需重启
• 查看与修改安全上下文
  • 查看：ls -Z、ps -Z -C <进程名>
  • 临时修改：chcon -t <路径>（重启或 restorecon 后可能失效）
  • 永久修改：semanage fcontext -a -t “<路径>(/.*)?” 后执行 restorecon -Rv <路径>
• 端口标签管理
  • 查询：semanage port -l | grep http_port_t
  • 添加：semanage port -a -t http_port_t -p tcp 8080
• 布尔值与审计
  • 开关布尔：setsebool on|off（永久加 -P）
  • 审计分析：ausearch -m avc -ts recent | aureport -a；audit2why < /var/log/audit/audit.log；必要时用 audit2allow 生成模块

四 与 AppArmor 和容器场景的协同

• AppArmor：基于路径的配置文件 Profile限制程序的文件、网络、能力等，配置直观、学习曲线低；适合快速加固应用。状态与日志可用 apparmor_status、/var/log/syslog 查看。
• 容器场景：为容器进程与卷设置正确的 SELinux 类型（如将卷标记为 container_file_t 或业务所需类型），遵循最小权限与非 root 运行原则；必要时结合 readOnlyRootFilesystem、seccomp 等进一步降低攻击面。

五 常见误区与最佳实践

• 避免直接 setenforce 0 或改为 Disabled 来“解决”访问问题；应保留 Enforcing，用 Permissive + 审计定位并用最小策略修复。
• 避免滥用 chcon 做永久变更；生产环境优先 semanage fcontext + restorecon，确保标签在重启/恢复后一致。
• 避免以 root 运行服务或为了端口放行而关闭 SELinux；使用 semanage port 为服务分配合法端口类型。
• 避免“过度放行”的自定义策略；优先用 audit2why 理解拒绝原因，按“最小可用”原则新增规则或布尔开关。