引言：為什么需要 SELinux？

在傳統 Linux 系統中，文件權限和訪問控制基于 DAC（自主訪問控制），即資源所有者可以自主決定誰可以訪問他們的資源。然而，這種方式存在明顯缺陷：一旦攻擊者獲得普通用戶權限，就可能通過提權漏洞獲取 root 權限，進而控制系統。此外，DAC 無法有效隔離不同應用程序的權限，導致漏洞利用的連鎖反應。

SELinux（Security-Enhanced Linux） 是由美國國家安全局（NSA）主導開發的 MAC（強制訪問控制） 框架，通過細粒度的策略控制，將系統劃分為多個安全域（Domain），每個域僅擁有最小必要權限。即使攻擊者突破某個應用，也無法橫向滲透到其他域。

---

第一部分：SELinux 核心理論

1.1 SELinux 的三大核心模型

1. TE（Type Enforcement，類型強制）
   ? 核心機制：通過 type 標簽標識進程和文件，策略規則定義 type 之間的訪問權限。

   ? 示例：httpd_t（Web 服務進程）只能訪問標記為 httpd_sys_content_t 的網頁文件。

2. RBAC（Role-Based Access Control，基于角色的訪問控制）
   ? 角色（Role）作為權限的中間層，用戶通過分配角色獲得權限，實現職責分離。例如，unconfined_r（非受限角色）與 sysadm_r（管理員角色）。

3. TE 和 RBAC 的協同
   ? 進程的上下文包含 (user, role, type)，例如：

   system_u:system_r:httpd_t:s0
   

   ? 用戶需切換角色（su -）才能獲得對應權限。

---

1.2 安全上下文（Security Context）

每個文件和進程均有一個安全上下文，格式為：

[用戶]:[角色]:[類型]:[敏感度等級]

? 查看上下文：

ls -Z /var/www/html/index.html
ps -eZ | grep httpd

---

1.3 策略語言與模塊化

SELinux 策略使用 Datalog 語言編寫，策略模塊（.pp 文件）通過 checkmodule 和 semodule_package 編譯生成。例如，禁止 httpd_t 訪問 /tmp：

dontaudit httpd_t tmp_t:file { read write };

---

第二部分：實戰操作指南

2.1 SELinux 狀態管理

# 查看狀態（Enforcing/Permissive/Disabled）
getenforce# 臨時切換模式（重啟失效）
setenforce 0  # Permissive 模式（僅記錄不攔截）# 永久修改配置（需重啟）
vim /etc/selinux/config
# 設置 SELINUX=enforcing/permissive/disabled

---

2.2 文件上下文管理

# 恢復文件默認上下文
restorecon -Rv /var/www/html/# 手動修改上下文（臨時生效）
chcon -t httpd_sys_content_t /new/path/index.html# 持久化修改（更新策略數據庫）
semanage fcontext -a -t httpd_sys_content_t "/new/path(/.*)?"
restorecon -Rv /new/path/

---

2.3 服務配置與排錯

場景：允許 Nginx 訪問自定義目錄

1. 修改目錄上下文：

   semanage fcontext -a -t httpd_sys_content_t "/data/nginx(/.*)?"
   restorecon -Rv /data/nginx
   

2. 檢查策略是否允許：

   grep httpd_sys_content_t /var/log/audit/audit.log | audit2why
   

場景：調試權限拒絕問題
當出現 avc: denied 日志時：

# 1. 查看詳細拒絕日志
ausearch -m avc -ts recent# 2. 自動生成策略建議
audit2allow -a -M mypolicy
semodule -i mypolicy.pp

---

---

第三部分：高級技巧與最佳實踐

3.1 自定義策略模塊開發

1. 使用 audit2allow 生成初始模塊：

   grep "avc: denied" /var/log/audit/audit.log | audit2allow -M mypolicy
   

2. 手動編輯 .te 文件優化策略：

   module mypolicy 1.0;require {type httpd_t;type user_home_t;
   }# 允許 httpd_t 讀取用戶家目錄下的特定文件
   allow httpd_t user_home_t:file { read getattr };
   

3. 編譯并加載模塊：

   checkmodule -M -m -o mypolicy.mod mypolicy.te
   semodule_package -o mypolicy.pp -m mypolicy.mod
   semodule -i mypolicy.pp
   

---

3.2 常見問題與解決方案

問題現象	可能原因	解決方法
avc: denied { name_connect }	策略禁止進程連接端口	添加端口標簽： semanage port -a -t http_port_t -p tcp 8080
文件上傳后權限丟失	上下文被覆蓋	檢查 restorecon 或設置默認上下文
服務無法啟動（如 MySQL）	策略限制或上下文錯誤	查看 /var/log/audit/audit.log

---

總結：SELinux 的價值與學習路徑

SELinux 通過強制訪問控制顯著提升了系統安全性，但其復雜性也帶來了學習曲線。建議通過以下步驟掌握 SELinux：

1. 理解核心概念：TE、RBAC、安全上下文。
2. 熟練使用命令行工具：semanage, restorecon, audit2why。
3. 實踐自定義策略：從簡單規則開始逐步深入。
4. 參考官方文檔：SELinux Project Wiki。

掌握 SELinux 不僅能提升系統安全性，還能深入理解 Linux 內核安全機制，為云原生和容器化環境（如 PodSecurityPolicy）打下堅實基礎。

參考

【1】一文徹底明白linux中的selinux到底是什么
【2】什么是 SELinux？