Linux 安全：如何使用 Rego 编写策略规则 (OPA)

OPA通过Rego语言实现Linux系统策略控制，支持用户权限、环境上下文等细粒度规则。1. Rego基于input、data输出决策，采用默认拒绝原则；2. 可编写如管理员执行shutdown、限制rm命令路径等权限策略；3. 结合time、matches等内置函数实现时间窗口与IP段访问控制；4. 通过PAM、HTTP API或Go SDK集成到SSH、sudo等服务中，动态加载策略确保安全可扩展。

在现代云原生环境中，统一、可扩展的策略控制至关重要。Open Policy Agent（OPA）通过使用 Rego 这种声明式语言，为 Linux 系统、Kubernetes、API 网关等提供集中化的策略决策能力。本文聚焦于如何在 Linux 安全场景中使用 Rego 编写实用的策略规则。

理解 Rego 与 OPA 的基本结构

Rego 是一种专为策略设计的语言，语法接近 JSONPath 和 SQL 的结合体，运行在 OPA 引擎中。OPA 接收输入数据（input）、访问已有数据（data），输出布尔值或详细响应。

一个基本策略结构如下：

上述策略表示：仅当用户是 root 且操作是 login 时允许请求。默认拒绝确保安全默认值。

编写 Linux 用户权限控制策略

你可以用 OPA 拦截系统级调用（如通过 PAM 集成或自定义守护进程），判断是否允许特定用户执行操作。

示例：限制只有特定组成员才能执行敏感命令。

该策略允许管理员执行 shutdown，普通用户只能删除 /tmp/ 下的文件。startswith 函数用于路径前缀判断，避免误删关键目录。

基于环境上下文的动态策略

真实场景中，策略需依赖时间、IP、系统状态等上下文。Rego 支持通过 built-in functions 获取这些信息。

Dreamhouse AI

AI室内设计，快速重新设计你的家，虚拟布置家具

78

查看详情

示例：禁止夜间以外的 root 登录。

这里使用了 time.now_ns() 和 weekday_hour() 判断当前小时。matches 实现 IP 段匹配。这种策略可用于 SSH 登录前置检查。

集成到 Linux 服务中的建议方式

OPA 不直接修改系统行为，而是作为策略决策点（PEP）调用的目标。常见集成方式包括：

• 在 SSH 或 sudo 的 PAM 模块中调用 OPA HTTP API 进行授权判断
• 通过 systemd service 启动 OPA 加载本地策略和数据文件
• 将 OPA 嵌入自研管理工具，使用 Go SDK 快速评估策略
• 定期从配置中心拉取策略更新，实现动态控制

例如，启动 OPA 服务：

然后发送请求：

基本上就这些。掌握 Rego 的核心逻辑和函数后，你可以根据实际安全需求构建细粒度的 Linux 访问控制策略。关键是明确 input 结构、合理组织 package 层级，并始终遵循“默认拒绝”原则。

以上就是Linux 安全：如何使用 Rego 编写策略规则 (OPA)的详细内容，更多请关注php中文网其它相关文章！