引言：为什么需要 SELinux？

在传统 Linux 系统中，文件权限和访问控制基于 DAC（自主访问控制），即资源所有者可以自主决定谁可以访问他们的资源。然而，这种方式存在明显缺陷：一旦攻击者获得普通用户权限，就可能通过提权漏洞获取 root 权限，进而控制系统。此外，DAC 无法有效隔离不同应用程序的权限，导致漏洞利用的连锁反应。

SELinux（Security-Enhanced Linux） 是由美国国家安全局（NSA）主导开发的 MAC（强制访问控制） 框架，通过细粒度的策略控制，将系统划分为多个安全域（Domain），每个域仅拥有最小必要权限。即使攻击者突破某个应用，也无法横向渗透到其他域。

---

第一部分：SELinux 核心理论

1.1 SELinux 的三大核心模型

1. TE（Type Enforcement，类型强制）
   • 核心机制：通过 type 标签标识进程和文件，策略规则定义 type 之间的访问权限。

   • 示例：httpd_t（Web 服务进程）只能访问标记为 httpd_sys_content_t 的网页文件。

2. RBAC（Role-Based Access Control，基于角色的访问控制）
   • 角色（Role）作为权限的中间层，用户通过分配角色获得权限，实现职责分离。例如，unconfined_r（非受限角色）与 sysadm_r（管理员角色）。

3. TE 和 RBAC 的协同
   • 进程的上下文包含 (user, role, type)，例如：

   system_u:system_r:httpd_t:s0
   

   • 用户需切换角色（su -）才能获得对应权限。

---

1.2 安全上下文（Security Context）

每个文件和进程均有一个安全上下文，格式为：

[用户]:[角色]:[类型]:[敏感度等级]

• 查看上下文：

ls -Z /var/www/html/index.html
ps -eZ | grep httpd

---

1.3 策略语言与模块化

SELinux 策略使用 Datalog 语言编写，策略模块（.pp 文件）通过 checkmodule 和 semodule_package 编译生成。例如，禁止 httpd_t 访问 /tmp：

dontaudit httpd_t tmp_t:file { read write };

---

第二部分：实战操作指南

2.1 SELinux 状态管理

# 查看状态（Enforcing/Permissive/Disabled）
getenforce# 临时切换模式（重启失效）
setenforce 0  # Permissive 模式（仅记录不拦截）# 永久修改配置（需重启）
vim /etc/selinux/config
# 设置 SELINUX=enforcing/permissive/disabled

---

2.2 文件上下文管理

# 恢复文件默认上下文
restorecon -Rv /var/www/html/# 手动修改上下文（临时生效）
chcon -t httpd_sys_content_t /new/path/index.html# 持久化修改（更新策略数据库）
semanage fcontext -a -t httpd_sys_content_t "/new/path(/.*)?"
restorecon -Rv /new/path/

---

2.3 服务配置与排错

场景：允许 Nginx 访问自定义目录

1. 修改目录上下文：

   semanage fcontext -a -t httpd_sys_content_t "/data/nginx(/.*)?"
   restorecon -Rv /data/nginx
   

2. 检查策略是否允许：

   grep httpd_sys_content_t /var/log/audit/audit.log | audit2why
   

场景：调试权限拒绝问题
当出现 avc: denied 日志时：

# 1. 查看详细拒绝日志
ausearch -m avc -ts recent# 2. 自动生成策略建议
audit2allow -a -M mypolicy
semodule -i mypolicy.pp

---

---

第三部分：高级技巧与最佳实践

3.1 自定义策略模块开发

1. 使用 audit2allow 生成初始模块：

   grep "avc: denied" /var/log/audit/audit.log | audit2allow -M mypolicy
   

2. 手动编辑 .te 文件优化策略：

   module mypolicy 1.0;require {type httpd_t;type user_home_t;
   }# 允许 httpd_t 读取用户家目录下的特定文件
   allow httpd_t user_home_t:file { read getattr };
   

3. 编译并加载模块：

   checkmodule -M -m -o mypolicy.mod mypolicy.te
   semodule_package -o mypolicy.pp -m mypolicy.mod
   semodule -i mypolicy.pp
   

---

3.2 常见问题与解决方案

问题现象	可能原因	解决方法
avc: denied { name_connect }	策略禁止进程连接端口	添加端口标签： semanage port -a -t http_port_t -p tcp 8080
文件上传后权限丢失	上下文被覆盖	检查 restorecon 或设置默认上下文
服务无法启动（如 MySQL）	策略限制或上下文错误	查看 /var/log/audit/audit.log

---

总结：SELinux 的价值与学习路径

SELinux 通过强制访问控制显著提升了系统安全性，但其复杂性也带来了学习曲线。建议通过以下步骤掌握 SELinux：

1. 理解核心概念：TE、RBAC、安全上下文。
2. 熟练使用命令行工具：semanage, restorecon, audit2why。
3. 实践自定义策略：从简单规则开始逐步深入。
4. 参考官方文档：SELinux Project Wiki。

掌握 SELinux 不仅能提升系统安全性，还能深入理解 Linux 内核安全机制，为云原生和容器化环境（如 PodSecurityPolicy）打下坚实基础。

参考

【1】一文彻底明白linux中的selinux到底是什么
【2】什么是 SELinux？