Debian上下文安全保障体系
Debian系统通过强制访问控制(MAC)框架(如SELinux、AppArmor)、最小权限原则及多层防护机制,实现对用户、进程、文件等对象的上下文安全管控,确保系统资源的合法访问与操作。
SELinux通过**安全上下文(Security Context)**定义进程、文件、端口等对象的访问权限,强制实施“最小权限”策略,即使进程被入侵,也无法越权访问未授权资源。
selinux-basics(基础工具)、selinux-policy-default(默认策略)包,并通过setenforce 1命令切换至Enforcing模式(强制生效);修改/etc/selinux/config文件,将SELINUX=disabled改为SELINUX=enforcing以永久生效。ls -Z(文件/目录)、ps -Z(进程)命令查看当前SELinux标签(如unconfined_u:object_r:httpd_sys_content_t:s0);chcon(如chcon -t httpd_sys_content_t /var/www/html/index.html),永久修改需结合semanage fcontext(添加规则)和restorecon(应用规则,如semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?";restorecon -Rv /var/www/html)。audit2allow工具分析/var/log/audit/audit.log中的拒绝日志,生成自定义策略模块(如audit2allow -a -M mypolicy),解决应用程序因SELinux限制无法运行的问题。AppArmor通过**配置文件(Profile)**限制应用程序的访问权限(如文件、网络、设备),适用于需要快速部署的应用安全加固。
apt install apparmor apparmor-utils安装,启动服务systemctl enable --now apparmor;通过aa-status命令查看已加载的配置文件。aa-genprof /usr/bin/myapp命令,交互式记录应用程序的行为(如访问的文件、网络端口),生成初始配置文件(存于/etc/apparmor.d/);/usr/bin/test.sh仅能读写/home/lzs/workspace/test/**),通过aa-enforce /etc/apparmor.d/test.sh启用强制模式(拒绝未授权操作),aa-complain启用抱怨模式(记录违规但不阻止)。aa-exec -p /etc/apparmor.d/test.sh /usr/bin/test.sh手动加载配置文件,通过tail -f /var/log/syslog | grep apparmor监控违规日志,定位并调整配置文件中的规则。sudo apt update && sudo apt upgrade,安装安全补丁修复已知漏洞,避免上下文机制被绕过。useradd),通过usermod -aG sudo加入sudo组;禁用root远程登录(修改/etc/ssh/sshd_config中的PermitRootLogin no),使用SSH密钥对认证(ssh-keygen -t rsa;ssh-copy-id user@host)替代密码登录。ufw(Uncomplicated Firewall)限制入站流量(ufw allow OpenSSH;ufw enable),仅允许必要的端口(如SSH的22端口、HTTP的80端口),减少未授权访问风险。systemctl list-units --type=service --state=running查看运行中的服务;systemctl disable <service-name>禁用不需要的服务),降低攻击面。通过上述措施,Debian系统构建了“内核级强制管控+应用级细粒度限制+配套机制强化”的上下文安全体系,有效防范未授权访问、提权攻击等安全威胁。
