Linux SELinux策略管理指南

一、SELinux策略管理基础

SELinux（Security-Enhanced Linux）通过强制访问控制（MAC）机制，为系统进程、文件、端口等资源提供细粒度安全管控。其策略管理围绕模式切换、上下文配置、规则调整三大核心展开，需结合工具实现精准管控。

二、SELinux运行模式管理

SELinux有三种运行模式，直接影响策略执行强度：

1. 查看当前模式：使用getenforce命令，输出结果为Enforcing（强制模式，严格管控）、Permissive（宽容模式，仅记录违规）或Disabled（禁用模式，完全关闭SELinux）。
2. 临时切换模式：用setenforce命令，参数0切换至宽容模式，1切换至强制模式（仅当前会话生效，重启后恢复配置文件设置）。
3. 永久设置模式：编辑/etc/selinux/config文件，修改SELINUX参数（可选值：enforcing/permissive/disabled），需重启系统生效。

   ⚠️ 注意：RHEL 9及以上系统不支持通过配置文件完全禁用SELinux，需使用grubby命令修改内核参数（如grubby --update-kernel ALL --args selinux=0）。

三、SELinux策略类型配置

SELinux策略类型决定了管控范围，默认采用targeted策略（仅保护常见网络服务，如Apache、SSH），兼顾安全性与兼容性：

• 查看当前策略类型：sestatus命令输出中的SELINUXTYPE字段（如targeted）。
• 修改策略类型：编辑/etc/selinux/config文件，修改SELINUXTYPE参数（可选值：targeted/mls/minimum），需重启系统生效。

四、安全上下文（Security Context）管理

安全上下文是SELinux的核心标识，格式为user:role:type:sensitivity:category（如system_u:object_r:httpd_sys_content_t:s0），用于定义资源的访问权限。管理工具包括：

1. 查看上下文：
   • ls -Z：查看文件/目录的上下文。
   • ps -eZ：查看进程的上下文（domain）。
   • netstat -tulpnZ/ss -tulpnZ：查看网络连接的上下文（端口类型）。
2. 修改上下文：
   • 临时修改：chcon命令（如chcon -R -t httpd_sys_content_t /web，将/web目录及子文件递归设为httpd_sys_content_t类型，仅当前生效）。
   • 永久修改：semanage fcontext命令（如semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"，添加永久标签规则），需配合restorecon命令应用（restorecon -Rv /web，恢复默认上下文）。

五、SELinux布尔值（Boolean）管理

布尔值是SELinux策略中的可开关选项，用于动态调整策略行为（如是否允许Apache访问网络）。管理工具：

• 查看所有布尔值：getsebool -a（输出所有布尔值及其状态，如httpd_can_network_connect_db on）。
• 修改布尔值：setsebool命令（如setsebool httpd_can_network_connect_db on，临时开启；加-P参数如setsebool -P httpd_can_network_connect_db on，永久生效）。

六、自定义策略模块管理

当默认策略无法满足需求（如自定义应用需要访问特定资源），需创建自定义策略模块：

1. 收集违规日志：违规信息记录在/var/log/audit/audit.log中，用ausearch -m avc -ts recent命令过滤最近的拒绝事件。
2. 生成策略规则：用audit2allow工具分析日志，生成.te（策略源文件）和.pp（编译后模块）文件（如grep nginx /var/log/audit/audit.log | audit2allow -M mypol）。
3. 安装模块：semodule -i mypol.pp命令将模块安装到SELinux策略中（需谨慎审核规则，避免过度授权）。

七、策略分析与调试工具

1. seinfo：查看SELinux策略整体信息（如域、类型数量），安装setools-console包（yum install setools-console），命令示例：seinfo -t | grep httpd（搜索与Apache相关的类型）。
2. sesearch：搜索策略中的规则（如allow规则），命令示例：sesearch -s passwd_t -t shadow_t -p write --allow（查找passwd_t域对shadow_t类型是否有写权限）。
3. sealert：分析SELinux拒绝事件并提供解决方案，命令示例：sealert -a /var/log/audit/audit.log（生成所有事件的详细报告）。

八、最佳实践

1. 遵循最小权限原则：仅授予进程和用户完成职责所需的最小权限，避免过度开放策略。
2. 逐步部署：在生产环境中先启用Permissive模式，观察日志确认无违规后再切换至Enforcing模式。
3. 版本控制：将自定义策略文件（.te/.fc）纳入版本控制系统（如Git），便于追踪变更和回滚。
4. 定期审计：定期检查/var/log/audit/audit.log，识别潜在安全问题并及时调整策略。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！