RedHat SELinux系統簡介及案例分析

一、SELinux簡介

RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在於集成了SELinux的支持.

SELinux的全稱是Security-Enhanced Linux,是由美國國家安全局NSA開發的訪問控制體制.

SELinux可以最大限度地保證Linux系統的安全.至於它的作用到底有多大,舉一個簡單的例子可以證明：

沒有SELinux保護的Linux的安全級別和Windows一樣,是C2級,但經過保護SELinux保護的Linux,安全級別

則可以達到B1級.如：我們把/tmp目錄下的所有文件和目錄許可權設置為0777,這樣在沒有SELinux保護的情

況下,任何人都可以訪問/tmp 下的內容.而在SELinux環境下,儘管目錄許可權允許你訪問/tmp下的內容,

但SELinux的安全策略會繼續檢查你是否可以訪問.

NSA推出的SELinux安全體系結構稱為 Flask,在這一結構中,安全性策略的邏輯和通用介面一起封裝在與

操作系統獨立的組件中,這個單獨的組件稱為安全伺服器.SELinux的安全伺服器定義了一種混合的安全性

策略,由類型實施 (TE)、基於角色的訪問控制 (RBAC) 和多級安全(MLS) 組成.通過替換安全伺服器,可

以支持不同的安全策略.SELinux使用策略配置語言定義安全策略,然後通過checkpolicy 編譯成二進位形

式,存儲在文件(如目標策略/etc/selinux/targeted/policy/policy.18)中,在內核引導時讀到內核空間

.這意味著安全性策略在每次系統引導時都會有所不同.

SELinux的策略分為兩種,一個是目標(targeted)策略,另一個是嚴格(strict)策略.有限策略僅針對部分

系統網路服務和進程執行SELinux策略,而嚴厲策略是執行全局的NSA默認策略.有限策略模式下,9個（可

能更多）系統服務受SELinux監控,幾乎所有的網路服務都受控.

配置文件是/etc/selinux/config,一般測試過程中使用「permissive」模式,這樣僅會在違反SELinux規

則時發出警告,然後修改規則,最后由用戶覺得是否執行嚴格「enforcing」的策略,禁止違反規則策略的

行為.

規則決定SELinux的工作行為和方式,策略決定具體的安全細節如文件系統,文件一致性.

在安裝過程中,可以選擇「激活」、「警告」或者「關閉」SELinux.默認設置為「激活」.

安裝之後,可以在「應用程序」「系統設置」「安全級別」,或者直接在控制台窗口輸入「system

-config- securitylevel」來打開「安全級別」設置窗口.在「SELinux」選項頁中,我們不但可以設置「

啟用」或者「禁用」SELinux,還可以對已經內置的SELinux策略進行修改.

SELinux相關命令：

ls -Z

ps -Z

id -Z

分別可以看到文件,進程和用戶的SELinux屬性.

chcon 改變文件的SELinux屬性.

getenforce/setenforce查看和設置SELinux的當前工作模式.

修改配置文件/etc/selinux/config后,需要重啟系統來啟動SELinux新的工作模式.

二、案例分析

Apache - "Document root must be a directory" 問題？

有可能和這個問題併發的問題還有 403 Forbidden　禁止訪問的問題.

現象描述：

不使用系統默認的 /var/www/html作為系統的Document Root,自己新建一個目錄后修改

/etc/httpd/conf/httpd.conf 中的配置,然後重起Apache的Daemon,發現Apache無法起動,系統報錯：

Document root must be a directory

但是,我們設置的DocumentRoot 的確是一個目錄,apache用戶具有可讀許可權.

另一種情況：新建一個虛擬目錄或文件后,無法訪問,顯示 Forbidden, 403 Error,但文件或目錄有可讀

許可權.

問題產生的原因：

一開始想來想去想不出為什麼,但是給我感覺是許可權的問題,用傳統的Linux的思維方式來看,許可權絕對沒

有問題.但是仔細一想,SELinux是不是會有其他安全的設定？

檢查 avcmessage,查看 /var/log/messages文件,發現有類似以下內容的這樣一段：

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

path=/var/www/html/about.html dev=dm-0 ino=373900

scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t

tclass=file

嘿嘿,問題找到了,果然是SELinux的新特性搞的鬼.我把目錄或文件設成了user_home_t類型,因此

apache的進程沒有許可權,無法訪問.針對Apache的進程所使用的SELinux target policy規定了apache的進

程只能訪問httpd_sys_content_t類型的目錄或文件.

解決辦法：

很簡單,把目錄或文件的策略類型改成 httpd_sys_content_t 就可以了.

# chcon -t httpd_sys_content_t [file_name | dir_name]

然後可以用 ls -laZ 命令查看文件目錄的策略類型.()