SElinux 管理過程中,進程是否可以正確地訪問文件資源,取決于它們的安全上下文。進程和文件都有自己的安全上下文,SELinux 會為進程和文件添加安全信息標簽,比如 SELinux 用戶、角色、類型、類別等,當運行 SELinux 后,所有這些信息都將作為訪問控制的依據。
首先,通過一個實例看看如何查看文件和目錄的安全上下文,執行命令如下:
[root@localhost ~]# ls -Z
#使用選項-Z查看文件和目錄的安全上下文
-rw-------.root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
-rw-r--r--.root root system_u:object_r:admin_home_t:s0 install.log
-rw-r--r--.root root system_u:object_r:admin_home_t:s0 install.log.syslog
可以看到,查看文件的安全上下文非常簡單,就是使用“ls -Z”命令。而在此基礎上,如果想要查看目錄的安全上下文,需要添加“-d”選項,代表查看目錄本身,而非目錄下的子文件。舉個例子:
[root@localhost ~]# ls -Zd /var/www/html/
drwxr-xr-x.root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
那么,該如何查看進程的安全上下文呢?只需使用 ps 命令即可。命令如下:
[root@localhost ~]# service httpd start
#啟動apache服務
[root@localhost ~]# ps auxZ | grep httpd
unconfined_u:system_r:httpd_t:s0 root 25620 0.0 0.5 11188 3304 ? Ss
03:44 0:02 /usr/sbin/httpd
…省略部分輸出…
也就是說,只要進程和文件的安全上下文匹配,該進程就可以訪問該文件資源。在上面的命令輸出中,我們加粗的就是安全上下文。
安全上下文看起來比較復雜,它使用“:”分隔為 4 個字段,其實共有 5 個字段,只是最后一個“類別”字段是可選的,例如:
system_u:object_r:httpd_sys_content_t:s0:[類別]
#身份字段:角色:類型:靈敏度:[類別]
下面對這 5 個字段的作用進行說明。1) 身份字段(user)
用于標識該數據被哪個身份所擁有,相當于權限中的用戶身份。這個字段并沒有特別的作用,知道就好。常見的身份類型有以下 3 種:
- - root:表示安全上下文的身份是 root。
- - system_u:表示系統用戶身份,其中“_u”代表 user。
- - user_u:表示與一般用戶賬號相關的身份,其中“_u”代表 user。
user 字段只用于標識數據或進程被哪個身份所擁有,一般系統數據的 user 字段就是 system_u,而用戶數據的 user 字段就是 user_u。
那么,SELinux 中到底可以識別多少用戶身份字段呢?我們可以使用 seinfo 命令來進行查詢。SELinux 的相關命令一般都是以“se”開頭的,所以也較為好記。
seinfo 命令格式如下:
[root@localhost ~]# seinfo [選項]
選項:
-u: 列出SELinux中所有的身份(user);
-r: 列出SELinux中所有的角色(role);
-t: 列出SELinux中所有的類型(type);
-b: 列出所有的布爾值(也就是策略中的具體規則名稱);
-x: 顯示更多的信息;
seinfo 命令的功能較多,我們在這里只想查詢 SELinux 中的身份,那么只需執行如下命令:
[root@localhost ~]# seinfo -u
Users:9
sysadm_u
system_u
xguest_u
root
guest_u
staff_u
user_u
unconfined_u
git_shell_u
就可以看到 SELinux 中能夠識別的 user 身份共有 9 種。不過這個字段在實際使用中并沒有太多的作用,了解一下即可。
2) 角色(role)
主要用來表示此數據是進程還是文件或目錄。這個字段在實際使用中也不需要修改,所以了解就好。
常見的角色有以下兩種:- - object_r:代表該數據是文件或目錄,這里的“_r”代表 role。
- - system_r:代表該數據是進程,這里的“_r”代表 role。
那么,SELinux 中到底有多少種角色呢?使用 seinfo 命令也可以查詢,命令如下:
[root@localhost ~]# seinfo -r
Roles:12
guest_r
staff_r
user_r
git_shell_r
logadm_r
object_r
sysadm_r
system_r
webadm_r
xguest_r
nx_server_r
unconfined_r
3) 類型(type)
類型字段是安全上下文中最重要的字段,進程是否可以訪問文件,主要就是看進程的安全上下文類型字段是否和文件的安全上下文類型字段相匹配,如果匹配則可以訪問。
注意,類型字段在文件或目錄的安全上下文中被稱作類型(type),但是在進程的安全上下文中被稱作域(domain)。也就是說,在主體(Subject)的安全上下文中,這個字段被稱為域;在目標(Object)的安全上下文中,這個字段被稱為類型。域和類型需要匹配(進程的類型要和文件的類型相匹配),才能正確訪問。
SELinux 中到底有多少類型也是通過 seinfo 命令查詢的,命令如下:
[root@localhost ~]# seinfo -t | more
Types:3488
#共有3488個類型
bluetooth_conf_t
cmirrord_exec_t
foghorn_exec_t
jacorb_port_t
sosreport_t
etc_runtime_t
…省略部分輸出…
我們知道了類型的作用,可是我們怎么知道進程的域和文件的類型是否匹配呢?這就要查詢具體的策略規則了,我們在后面再進行介紹。
不過,我們已知 apache 進程可以訪問 /var/www/html/(此目錄為 RPM 包安裝的 apache 的默認網頁主目錄)目錄中的網頁文件,所以 apache 進程的域和 /var/www/html/ 目錄的類型應該是匹配的,我們查詢一下,命令如下:
[root@localhost ~]# ps auxZ | grep httpd
unconfined_u:system_r:httpd_t:s0 root 25620 0.0 0.5 11188 3304 ? Ss
03:44 0:02 /usr/sbin/httpd
#apache進程的域是httpd_t
[root@localhost ~]# ls -dZ /var/www/html/
drwxr-xr-x.root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
#/var/www/html/目錄的類型是httpd_sys_content_t
apache 進程的域是 httpd_t,/var/www/html/ 目錄的類型是 httpd_sys_content_t,這個主體的安全上下文類型經過策略規則的比對,是和目標的安全上下文類型匹配的,所以 apache 進程可以訪問 /var/www/html/ 目錄。
我們在 SELinux 中最常遇到的問題就是進程的域和文件的類型不匹配,所以我們一定要掌握如何修改類型字段。
4) 靈敏度
靈敏度一般是用 s0、s1、s2 來命名的,數字代表靈敏度的分級。數值越大,代表靈敏度越高。
5) 類別
類別字段不是必須有的,所以我們使用 ls 和 ps 命令查詢的時候并沒有看到類別字段。但是我們可以通過 seinfo 命令來查詢,命令如下:
[root@localhost ~]# seinfo -u -x
#查詢所有的user字段,并查看詳細信息
system_u
#user字段名
default level:s0
#默認靈敏度
range:s0 - s0:c0.c1023
#靈敏度可以識別的類別
roles:
#該user能夠匹配的role(角色)
object_r
system_r
unconfined_r
