linux内核之SELinux

SELinux (Security-Enhanced Linux) 是一个 Linux 内核安全模块，它提供了一种强制访问控制 (MAC) 的机制。 简单来说，它就像一个非常严格的保安，控制着系统中的每个进程和资源之间的交互，即使进程以 root 权限运行，SELinux 仍然可以阻止它执行某些操作。

SELinux 的作用：

• 强制访问控制 (MAC)： 与传统的自主访问控制 (DAC) 不同，DAC 基于用户和组的权限，而 MAC 基于预定义的策略。SELinux 策略定义了哪些进程可以访问哪些资源，以及可以执行哪些操作。
• 最小权限原则： SELinux 强制执行最小权限原则，这意味着进程只能访问它需要访问的资源，并且只能执行它需要执行的操作。
• 隔离： SELinux 可以隔离不同的进程，防止一个进程的漏洞影响到其他进程。
• 防御内部威胁： SELinux 不仅可以防御外部攻击，还可以防御内部威胁，例如恶意用户或被攻破的进程。

SELinux 的影响：

SELinux 的存在会对系统的行为产生显著的影响，主要体现在以下几个方面：

• 增强安全性： 这是 SELinux 最主要的影响。它通过强制访问控制，显著提高了系统的安全性，降低了被攻击的风险。
• 配置复杂性： SELinux 的配置相对复杂，需要理解 SELinux 的策略和规则。错误的配置可能会导致应用程序无法正常运行。
• 故障排除困难： 当应用程序出现问题时，SELinux 可能会是原因之一。但由于 SELinux 的复杂性，故障排除可能会比较困难。你需要查看 SELinux 的审计日志，才能确定是否是 SELinux 阻止了某些操作。
• 性能影响： SELinux 会对系统的性能产生一定的影响，因为它需要对每个访问请求进行策略检查。但是，在现代硬件上，这种影响通常可以忽略不计。

SELinux 的模式：

SELinux 有三种模式：

• Enforcing (强制模式): SELinux 处于活动状态，并强制执行策略。任何违反策略的操作都会被阻止，并记录在审计日志中。
• Permissive (宽容模式): SELinux 处于活动状态，但不强制执行策略。任何违反策略的操作都会被允许，但会记录在审计日志中。这种模式通常用于测试和调试 SELinux 策略。
• Disabled (禁用模式): SELinux 被完全禁用。

如何查看 SELinux 状态：

可以使用 sestatus 命令查看 SELinux 的状态。

sestatus

如何临时修改 SELinux 模式：

• Enforcing -> Permissive:

  sudo setenforce 0
  

• Permissive -> Enforcing:

  sudo setenforce 1
  

如何永久修改 SELinux 模式：

编辑 /etc/selinux/config 文件，修改 SELINUX 变量的值。

SELINUX=enforcing   # 强制模式
SELINUX=permissive  # 宽容模式
SELINUX=disabled    # 禁用模式

修改后需要重启系统才能生效。

SELinux 与 Nginx：

当使用 SELinux 时，需要确保 SELinux 策略允许 Nginx 访问业务目录和执行所需的操作。 如果 Nginx 无法正常工作，可以查看 SELinux 的审计日志 (/var/log/audit/audit.log)，查找被拒绝的访问请求。 可以使用 audit2allow 工具根据审计日志生成自定义的 SELinux 策略。

总结：

SELinux 是一个强大的安全工具，可以显著提高 Linux 系统的安全性。 但是，它也增加了配置和故障排除的复杂性。 在使用 SELinux 时，需要仔细阅读文档，理解 SELinux 的策略和规则，并根据你的具体需求进行配置。 如果你不熟悉 SELinux，建议先在宽容模式下运行，并仔细查看审计日志，然后再切换到强制模式。