首先确认selinux处于enforcing模式,通过sestatus检查并修改/etc/selinux/config中selinux=enforcing以确保重启后生效;2. 为服务进程和文件配置正确的selinux上下文,使用ps auxz和ls -lz查看上下文,通过semanage fcontext定义持久化规则并用restorecon应用;3. 遵循最小权限原则,确保服务运行在专有域(如httpd_t)而非unconfined_t,避免权限过大,必要时编写自定义策略模块;4. 分析avc拒绝日志(ausearch -m avc),判断访问是否合理,通过semanage添加安全规则或使用audit2allow生成最小化自定义策略模块并安装;5. 定期监控avc日志,使用sealert分析问题,保持策略更新,及时发现异常行为;6. 禁用不必要的服务,避免长期使用chcon,优先使用semanage实现持久配置,对关键服务单独建模以强化隔离。selinux加固的核心是启用、观察、分析、最小化授权,必须持续维护才能有效限制服务权限,防止越权访问,最终实现即使服务被攻破也难以突破沙箱的防护目标。
SELinux(Security-Enhanced Linux)是 Linux 系统中一个强大的强制访问控制(MAC)机制,能显著提升系统安全性。正确配置 SELinux 可以有效限制服务进程的权限,防止越权访问和提权攻击。以下是加固服务时使用 SELinux 的关键步骤和最佳实践。
一、确保 SELinux 处于启用和强制模式
首先确认 SELinux 已启用并运行在
enforcing模式:
sestatus
输出应显示:
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux Current mode: enforcing Mode from config file: enforcing
如果当前是
permissive或
disabled,需修改
/etc/selinux/config文件:
SELINUX=enforcing SELINUXTYPE=targeted
注意:修改后需重启生效。建议先在测试环境验证,避免配置错误导致服务无法启动。
二、为服务使用正确的 SELinux 类型(Type Enforcement)
每个服务进程和文件都有对应的 SELinux 上下文,尤其是类型(type)字段。错误的类型会导致访问被拒绝。
1. 查看服务进程的 SELinux 上下文
ps auxZ | grep <服务名>
例如查看 httpd 进程:
ps auxZ | grep httpd # 输出类似:system_u:system_r:httpd_t:s0
2. 查看文件或目录的 SELinux 上下文
ls -lZ /path/to/service/files
例如查看 Web 根目录:
ls -lZ /var/www/html
确保文件类型是
httpd_sys_content_t等对应服务的类型。
3. 修复或设置正确的文件上下文
使用
semanage fcontext定义持久化上下文规则:
# 为自定义 Web 目录设置上下文 semanage fcontext -a -t httpd_sys_content_t "/webdata(/.*)?" # 应用上下文 restorecon -R /webdata
这样即使系统重启,上下文也不会丢失。
三、最小权限原则:限制服务的域(Domain)
SELinux 通过域(如
httpd_t、
mysqld_t)控制进程行为。应避免服务运行在不受限的域(如
unconfined_t)。
1. 避免服务被标记为 unconfined_service_t
检查服务单元文件或启动脚本是否意外继承了宽松上下文。可通过以下命令查看:
ps auxZ | grep unconfined
2. 使用专有域运行服务
确保服务由 systemd 正确标记。例如,标准服务通常自动使用正确域。若自定义服务,需设置 SELinux 域:
# 在 systemd 服务文件中添加 [Service] ExecStart=/usr/bin/myapp # SELinux 域建议通过 policy 定义,但可指定安全上下文 # 可选:使用 runcon 临时指定,但不推荐长期使用
更佳做法是编写自定义 SELinux policy 模块来定义新域。
四、处理拒绝访问(AVC denials)并优化策略
服务启动失败时,常因 SELinux 拒绝访问。需分析日志并合理响应。
1. 查看拒绝日志
ausearch -m avc -ts recent # 或 grep "avc:.*denied" /var/log/audit/audit.log
示例输出:
type=AVC msg=audit(...): avc: denied { read } for pid=1234 comm="httpd" name="data.txt" dev="sda1" ino=12345 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file说明:httpd 试图读取用户家目录文件,被拒绝。
2. 正确应对拒绝
- 不要盲目使用
setenforce 0
或chcon -t public_content_t
- 分析是否合理:Web 服务读取家目录通常不安全,应迁移文件到
/var/www/html
或使用httpd_sys_content_t
- 若确实需要访问,使用
semanage
添加规则:
semanage fcontext -a -t httpd_sys_content_t "/data/web(/.*)?" restorecon -R /data/web
3. 生成并安装自定义策略模块(必要时)
当标准类型无法满足需求时,可基于拒绝日志生成策略:
# 收集拒绝记录 ausearch -m avc -ts recent > /tmp/avc.log # 生成策略模块 audit2allow -i /tmp/avc.log # 创建并安装模块 audit2allow -i /tmp/avc.log -M myapp_policy semodule -i myapp_policy.pp
注意:只允许必要的规则,避免生成过于宽松的策略。
五、定期维护与监控
- 定期检查 AVC 拒绝日志,及时发现异常行为(可能是攻击尝试)
-
使用
sealert
分析问题:
sealert -a /var/log/audit/audit.log
sealert能提供更易读的解释和修复建议。
- 保持 SELinux 策略更新:系统更新时,SELinux 策略也可能更新,需同步维护。
六、其他安全建议
- 禁用不必要的服务:减少攻击面,也减少 SELinux 配置复杂度
-
使用
setroubleshoot
服务(RHEL/CentOS):自动分析并报告 SELinux 问题 -
避免长期使用
chcon
临时修改:应使用semanage fcontext
做持久化配置 - 对敏感服务(如数据库、API 服务)单独建模:可编写专用 SELinux policy 实现最小权限
SELinux 加固的核心是:启用、观察、分析、最小化授权。它不是“配置完就忘”的工具,而是需要持续关注的安全层。正确使用 SELinux,能让服务即使被攻破,也无法轻易突破沙箱。
基本上就这些,不复杂但容易忽略细节。
