Linux Context如何进行权限管理

Linux Context 权限管理实战指南

一 核心概念与工作原理

• 在 Linux 中，“Context”通常指 SELinux 的安全上下文，用于标识主体与客体的安全属性，决定访问是否被允许。一个典型的上下文包含：用户（SELinux User）、角色（Role）、类型（Type）、级别/范畴（Level/MCS/MLS）。其中 类型（Type） 是访问控制的关键维度，进程的类型与资源的类型之间必须存在允许规则。
• 访问控制流程：当进程访问文件/端口/进程时，内核不仅检查传统的 DAC（rwx/属主/属组），还会检查 SELinux MAC 规则；若任一环节拒绝，则访问被拒绝。
• 与传统权限的关系：DAC 是基础，MAC 是增强。DAC 解决“谁可以访问”，MAC 解决“在什么安全上下文中可以如何访问”。

二 常用操作与命令速查

• 查看状态与模式
  • 查看模式：getenforce（返回 Enforcing/Permissive/Disabled）
  • 临时切换：sudo setenforce 0|1（仅在 Permissive/Enforcing 之间切换）
  • 永久生效：编辑 /etc/selinux/config 的 SELINUX=enforcing|permissive|disabled
• 查看上下文
  • 文件/目录：ls -Z /path
  • 进程：ps -eZ 或 ps -efZ
• 修改与持久化上下文
  • 临时修改：sudo chcon -R -t <type> /path
  • 永久修改：sudo semanage fcontext -a -t <type> "/path(/.*)?" 然后 sudo restorecon -Rv /path
• 布尔值与策略模块
  • 查看布尔值：getsebool -a | grep <svc>
  • 设置布尔值：sudo setsebool -P <bool>=on|off（如 httpd_can_network_connect）
  • 生成并加载策略模块：grep "avc: denied" /var/log/audit/audit.log | audit2allow -M mypolicy && sudo semodule -i mypolicy.pp
• 端口与登录映射
  • 管理端口：semanage port -l | grep <svc>；添加端口：sudo semanage port -a -t <port_t> -p tcp <port>
  • 登录映射：sudo semanage login -a -s <selinux_user> <system_user>
    以上命令覆盖了日常 查看、修改、持久化、调试 的高频操作。

三 典型场景与处理步骤

• Web 目录权限异常（如 403）
  • 检查：ls -Z /var/www/html
  • 修复：sudo restorecon -Rv /var/www/html（按策略恢复默认上下文）
• 服务绑定非标准端口（如 Nginx 8080）
  • 查看端口类型：semanage port -l | grep http_port_t
  • 添加端口：sudo semanage port -a -t http_port_t -p tcp 8080
• 自定义目录作为 Web 内容
  • 持久化标记：sudo semanage fcontext -a -t httpd_sys_content_t "/opt/webapps(/.*)?"
  • 应用标记：sudo restorecon -Rv /opt/webapps
• 审计与策略生成
  • 检索拒绝日志：ausearch -m AVC -ts recent
  • 生成模块：grep "avc: denied" /var/log/audit/audit.log | audit2allow -M mysvc && sudo semodule -i mysvc.pp
    以上流程覆盖最常见的 Web 内容、端口、自定义目录 三类问题。

四 故障排查与最佳实践

• 故障排查路径
  • 确认模式：getenforce（必要时先切到 Permissive 验证是否为 SELinux 问题）
  • 查拒绝日志：tail -f /var/log/audit/audit.log 或 ausearch -m AVC -ts recent
  • 修复与验证：优先用 restorecon 恢复默认上下文；确需新增规则再用 semanage fcontext 持久化；必要时用 audit2allow 生成最小策略模块
• 最佳实践
  • 优先使用 Permissive 模式定位问题，再回到 Enforcing
  • 谨慎使用 chcon，优先用 semanage fcontext + restorecon 做持久化
  • 变更前备份策略与关键配置（如 /etc/selinux）
  • 能用 布尔值 就不用写模块；模块需评审与最小化
  • 变更后回归测试，并持续审计关键服务
    以上做法有助于在保证安全性的同时降低维护成本与风险。

五 与传统权限及 AppArmor 的关系

• 与传统 DAC 的关系：DAC（chmod/chown） 与 MAC（SELinux 上下文） 共同决定访问结果，二者是叠加关系而非互斥。
• 与 AppArmor 的关系：二者都属于 强制访问控制（MAC），但 SELinux 以“类型强制 TE”为核心、使用“上下文”与策略模块；AppArmor 以“路径/能力”为核心、使用配置文件。在 CentOS 上常见的是 SELinux；若使用 AppArmor，则通过配置文件与 apparmor_parser、aa-status 等工具管理。