系统管理员的 SELinux 指南：这个大问题的 42 个答

获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案

“一个重要而普遍的事实是，事情并不总是你看上去的那样 …” ―Douglas Adams，《银河系漫游指南》

安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 —— 监控、备份、实施、调优、更新等等 —— 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 Ethan Hunt 的工作一样。

面对这种窘境，一些系统管理员决定去服用蓝色小药丸，因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道，它的答案就是这个 。

按《银河系漫游指南》的精神，这里是关于在你的系统上管理和使用 SELinux 这个大问题的 42 个答案。

SELinux 是一个标签系统，这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。

两个最重要的概念是：标签化（文件、进程、端口等等）和类型强制（基于不同的类型隔离不同的的进程）。

正确的标签格式是 user:role:type:level（可选）。

多级别安全Multi-Level Security（MLS）强制的目的是基于它们所使用数据的安全级别，对进程（域）强制实施控制。比如，一个秘密级别的进程是不能读取极机密级别的数据。

多类别安全Multi-Category Security（MCS）强制相互保护相似的进程（如虚拟机、OpenShift gears、SELinux 沙盒、容器等等）。

在启动时改变 SELinux 模式的内核参数有：

autorelabel=1 → 强制给系统重新标签化

selinux=0 → 内核不加载 SELinux 基础设施的任何部分

enforcing=0 → 以许可permissive模式启动

如果给整个系统重新标签化：

#touch/.autorelabel

#reboot

如果系统标签中有大量的错误，为了能够让 autorelabel 成功，你可以用许可模式引导系统。

检查 SELinux 是否启用：# getenforce

临时启用/禁用 SELinux：# setenforce [1|0]

SELinux 状态工具：# sestatus

配置文件：/etc/selinux/config

SELinux 是如何工作的？这是一个为 Apache Web Server 标签化的示例：

二进制文件：/usr/sbin/httpd→httpd_exec_t

配置文件目录：/etc/httpd→httpd_config_t

日志文件目录：/var/log/httpd → httpd_log_t

内容目录：/var/www/html → httpd_sys_content_t

启动脚本：/usr/lib/systemd/system/httpd.service → httpd_unit_file_d

进程：/usr/sbin/httpd -DFOREGROUND → httpd_t

端口：80/tcp, 443/tcp → httpd_t, http_port_t

在 httpd_t 安全上下文中运行的一个进程可以与具有 httpd_something_t 标签的对象交互。

许多命令都可以接收一个 -Z 参数去查看、创建、和修改安全上下文：

ls -Z

id -Z

ps -Z

netstat -Z

cp -Z

mkdir -Z

当文件被创建时，它们的安全上下文会根据它们父目录的安全上下文来创建（可能有某些例外）。RPM 可以在安装过程中设定安全上下文。

这里有导致 SELinux 出错的四个关键原因，它们将在下面的 15 - 21 条中展开描述：

标签化问题

SELinux 需要知道一些东西

SELinux 策略或者应用有 bug

你的信息可能被损坏

标签化问题：如果在 /srv/myweb 中你的文件没有被正确的标签化，访问可能会被拒绝。这里有一些修复这类问题的方法：

如果你知道标签：# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'

如果你知道和它有相同标签的文件：# semanage fcontext -a -e /srv/myweb /var/www

恢复安全上下文（对于以上两种情况）：# restorecon -vR /srv/myweb

标签化问题：如果你是移动了一个文件，而不是去复制它，那么这个文件将保持原始的环境。修复这类问题：

使用标签来改变安全上下文：# chcon -t httpd_system_content_t /var/www/html/index.html

使用参考文件的标签来改变安全上下文：# chcon --reference /var/www/html/ /var/www/html/index.html

恢复安全上下文（对于以上两种情况）：# restorecon -vR /var/www/html/

如果 SELinux 需要知道 HTTPD 在 8585 端口上监听，使用下列命令告诉 SELinux：# semanage port -a -t http_port_t -p tcp 8585