SELinux如何管理文件访问

SELinux（Security-Enhanced Linux）是一种内核安全模块，它通过强制访问控制（MAC）策略来管理文件和进程的访问权限。以下是SELinux如何管理文件访问的详细步骤：

1. 定义安全上下文

• 安全上下文：每个文件、目录、进程等都有一个与之关联的安全上下文。
• 标签类型：常见的标签类型包括user_u（用户）、role_u（角色）、type_u（类型）和level_s（级别）。

2. 配置策略

• 策略语言：SELinux使用基于规则的策略语言（如semanage、audit2allow等）来定义哪些操作是允许的或拒绝的。
• 策略文件：策略规则存储在/etc/selinux/目录下的多个文件中，例如/etc/selinux/config、/etc/selinux/targeted/policy/policies/等。

3. 文件系统标签

• 挂载选项：在挂载文件系统时，可以通过mount命令的-o selinux选项来启用SELinux标签。
• 默认标签：某些文件系统类型（如ext4）有默认的SELinux标签，可以通过ls -Z命令查看。

4. 访问控制列表（ACL）

• 扩展ACL：SELinux可以与传统的ACL结合使用，提供更细粒度的访问控制。
• SELinux ACL：使用setfattr和getfattr命令来设置和获取SELinux ACL。

5. 审计和日志

• 审计日志：SELinux会记录所有被拒绝的访问尝试，这些信息存储在/var/log/audit/audit.log中。
• 实时监控：可以使用ausearch和aureport工具来分析审计日志，找出潜在的安全问题。

6. 策略调整

• 临时更改：可以使用setenforce命令临时切换SELinux的执行模式（Enforcing或Permissive）。
• 永久更改：修改/etc/selinux/config文件中的SELINUX=enforcing或SELINUX=disabled来永久更改执行模式。

7. 使用工具

• semanage：用于管理SELinux策略和标签。
• audit2allow：从审计日志中生成自定义策略模块。
• restorecon：恢复文件或目录的默认SELinux标签。
• chcon：手动更改文件或目录的安全上下文。

示例

假设你想允许一个名为myapp的应用程序读取某个敏感文件/etc/secrets.conf，你可以这样做：

1. 检查当前标签：

   ls -Z /etc/secrets.conf
   

2. 修改文件标签（如果需要）：

   sudo chcon system_u:object_r:etc_t:s0 /etc/secrets.conf
   

3. 更新策略（如果需要）：

   sudo ausearch -c 'myapp' --raw | audit2allow -M myapp_policy
   sudo semodule -i myapp_policy.pp
   

4. 验证更改：

   sudo ausearch -m avc -ts recent | audit2why
   

通过以上步骤，SELinux能够有效地管理和控制文件访问，确保系统的安全性。