SELinux策略怎样定制

SELinux策略定制指南
SELinux（Security-Enhanced Linux）通过**强制访问控制（MAC）**机制限制进程与文件的访问权限，默认策略（如targeted）适用于多数场景，但特定应用（如自定义服务、遗留应用）可能需要定制策略以满足安全需求。以下是定制SELinux策略的详细步骤：

1. 准备工作：安装工具与确认状态

• 安装SELinux管理工具：定制策略需使用policycoreutils-python（包含audit2allow、semanage等工具），执行以下命令安装：

  sudo yum install policycoreutils-python  # CentOS/RHEL
  sudo apt-get install policycoreutils libselinux1  # Ubuntu/Debian
  

• 确认SELinux状态：确保SELinux处于Enforcing（强制模式）或Permissive（警告模式，仅记录违规不阻止），执行：

  sestatus
  

  若状态为Disabled，需修改/etc/selinux/config文件（将SELINUX=disabled改为SELinux=enforcing），并重启系统启用。

2. 收集拒绝日志：定位权限问题

当应用因SELinux策略被拒绝访问时，系统会记录**AVC（Access Vector Cache）**日志至/var/log/audit/audit.log（或/var/log/messages）。使用以下命令提取相关拒绝信息：

sudo ausearch -m avc -ts recent  # 查找最近的AVC拒绝事件

或直接过滤应用名称（如httpd）：

grep httpd /var/log/audit/audit.log | audit2why  # 分析拒绝原因

3. 生成自定义策略：自动生成或手动编写

方法一：使用audit2allow自动生成（快速）

audit2allow可根据拒绝日志生成策略模块，步骤如下：

• 生成策略源文件（.te）和编译包（.pp）：

  sudo ausearch -m avc -ts recent | audit2allow -M my_custom_policy
  

  此命令会创建my_custom_policy.te（策略源码）和my_custom_policy.pp（编译后的模块）。
• 加载策略模块：

  sudo semodule -i my_custom_policy.pp  # 安装模块
  

方法二：手动编写策略（精准）

若自动生成的策略过于宽松，需手动编写.te文件（策略源码），示例如下：

module my_custom_policy 1.0;  # 模块名称与版本

require {  # 声明依赖的类型、类
    type httpd_t;            # 应用进程类型（如httpd）
    type myapp_file_t;       # 自定义文件类型
    class file { read write }; # 允许的操作（读、写）
}

# 定义规则：允许httpd_t类型的进程访问myapp_file_t类型的文件
allow httpd_t myapp_file_t:file { read write };

关键元素说明：

• module：模块标识（名称+版本）；
• require：声明策略依赖的类型、类（需提前存在或通过semanage创建）；
• allow：定义权限规则（主体→客体：操作）。

4. 编译与加载策略：使策略生效

• 编译策略：使用checkmodule（编译源码为二进制模块）和semodule_package（打包为可加载文件）：

  checkmodule -M -m -o my_custom_policy.mod my_custom_policy.te  # 编译源码
  semodule_package -o my_custom_policy.pp -m my_custom_policy.mod  # 打包模块
  

• 加载策略：使用semodule命令安装编译后的模块：

  sudo semodule -i my_custom_policy.pp  # 加载模块
  

• 验证加载：查看已加载的策略模块，确认自定义策略存在：

  semodule -l | grep my_custom_policy
  

5. 测试与调试：确保策略有效性

• 测试应用功能：运行需访问的应用（如httpd），验证是否不再出现SELinux拒绝错误。
• 调试未预期问题：若应用仍无法正常工作，再次查看拒绝日志，使用audit2why分析原因，调整策略（如添加缺失的权限）：

  grep my_custom_policy /var/log/audit/audit.log | audit2why
  

6. 维护策略：持续优化

• 备份策略：修改前备份/etc/selinux/targeted/src/policy/下的策略文件（如policy.31），避免误操作导致系统无法启动。
• 更新策略：随应用升级或系统变更，定期检查策略有效性，删除不再需要的模块（使用semodule -r my_custom_policy移除）。
• 监控日志：定期查看/var/log/audit/audit.log，及时发现新的权限问题。

注意事项

• 避免过度放宽权限：仅授予应用必需的最小权限（如read而非read write execute），降低安全风险。
• 优先使用布尔值：若应用仅需开关型权限（如httpd是否允许访问FTP），可使用setsebool（如setsebool -P httpd_can_ftp 1）而非自定义策略，更易维护。
• 测试环境验证：生产环境应用前，务必在测试环境验证策略，避免导致系统崩溃或数据泄露。