在一個(gè)網(wǎng)絡(luò)威脅正在迅速發(fā)展的時(shí)代，保護(hù)Linux系統(tǒng)遠(yuǎn)遠(yuǎn)超出了基本用戶權(quán)限。諸如DIPARTAIRY訪問控制（DAC）之類的傳統(tǒng)安全機(jī)制為特權(quán)升級(jí)，申請(qǐng)妥協(xié)和內(nèi)部威脅提供了有限的保障措施。為了解決這些局限性，安全增強(qiáng)的Linux（SELINUX）為強(qiáng)制性訪問控制（MAC）提供了一個(gè)強(qiáng)大的，細(xì)粒度的框架 - 不僅僅是基於紅色帽子的發(fā)行版。

在本文中，我們將探討如何將Selinux整合到Debian ，Debian是最廣泛使用和受人尊敬的GNU/Linux分佈之一。我們將分解其體系結(jié)構(gòu)，設(shè)置過程，策略管理和故障排除技術(shù)。無論您是運(yùn)行關(guān)鍵任務(wù)服務(wù)器還是尋求硬化桌面環(huán)境，本指南都會(huì)向您展示Selinux如何將系統(tǒng)安全性提升到企業(yè)級(jí)標(biāo)準(zhǔn)。

了解Selinux的基礎(chǔ)

什麼是Selinux？

Selinux是由美國國家安全局（NSA）與開源社區(qū)合作開發(fā)的內(nèi)核安全模塊。它通過強(qiáng)制執(zhí)行基於策略的規(guī)則來介紹強(qiáng)制性訪問控件的概念，該規(guī)則嚴(yán)格定義了過程和用戶??如何與文件，目錄，插座和設(shè)備進(jìn)行交互。

與DAC不同的是，在文件所有者控制訪問的情況下， MAC策略由系統(tǒng)管理員強(qiáng)加並由內(nèi)核執(zhí)行，而不管用戶所有權(quán)或權(quán)限如何。

Selinux的核心組成部分

• 主題：主動(dòng)實(shí)體（通常是過程）。

• 對(duì)象：被動(dòng)實(shí)體（例如文件，目錄，設(shè)備）。

• 上下文：分配給主題和對(duì)象的安全標(biāo)籤。

• 類型/域：用於定義訪問規(guī)則和行為。

• 策略：確定訪問控制邏輯的書面規(guī)則集。

執(zhí)法模式

• 執(zhí)行：SELINUX政策被應(yīng)用並違反。

• 允許的：政策沒有執(zhí)行，但違規(guī)行為已記錄。

• 禁用：Selinux完全關(guān)閉。

Selinux在Debian：現(xiàn)實(shí)檢查

傳統(tǒng)上，Debian偏愛Apparmor的簡(jiǎn)單性和易於整合性。但是，Selinux支持完全存在於Debian的存儲(chǔ)庫中。截至Debian 12（Bookworm）及以後，整合Selinux比以往任何時(shí)候都更加精簡(jiǎn)和記錄。

為什麼在Debian上使用Selinux？

• 粒狀控制對(duì)系統(tǒng)資源的訪問。

• 強(qiáng)制性政策可以防止特權(quán)升級(jí)和未經(jīng)授權(quán)的行動(dòng)。

• 策略模塊化允許在系統(tǒng)服務(wù)跨系統(tǒng)執(zhí)行。

• 強(qiáng)大的審核工具有助於發(fā)現(xiàn)錯(cuò)誤的配置和可疑活動(dòng)。

在Debian上安裝和啟用Selinux

先決條件

確保您的系統(tǒng)符合以下要求：

• 運(yùn)行支持的Debian內(nèi)核（4.x或更新）。

• 根訪問或sudo特權(quán)。

步驟1：安裝Selinux軟件包

sudo apt更新sudo apt安裝selinux-basics selinux-policy-default auditd politioncoreutils

步驟2：在啟動(dòng)時(shí)配置Selinux

編輯grub配置以在啟動(dòng)時(shí)啟用Selinux：

sudo nano/etc/default/grub

添加selinux = 1安全= selinux到grub_cmdline_linux_default行：

grub_cmdline_linux_default =“ letim selinux = 1安全= selinux”

更新grub：

sudo update-grub

步驟3：重新啟動(dòng)並重新標(biāo)記文件系統(tǒng)

在SELINUX可以正常運(yùn)行之前，必須將整個(gè)文件系統(tǒng)重新標(biāo)記為適當(dāng)?shù)陌踩h(huán)境：

sudo touch /autorelabel sudo重新啟動(dòng)

在重新啟動(dòng)時(shí)，系統(tǒng)將掃描並重新標(biāo)記所有文件，這可能需要幾分鐘。

步驟4：驗(yàn)證Selinux狀態(tài)

Sestatus

預(yù)期輸出在執(zhí)行模式下：

Selinux狀態(tài)：?jiǎn)⒂卯?dāng)前模式：執(zhí)行策略版本：33策略來自配置文件：目標(biāo)

管理Selinux政策

默認(rèn)與自定義策略

Debian與Selinux-Policy-default一起運(yùn)送，這是一套全面的規(guī)則，涵蓋了SSH，Apache，Cron等常見服務(wù)。

自定義策略是使用以下工具創(chuàng)建的：

• CheckModule：將.TE（鍵入執(zhí)行）文件編譯到模塊中。

• semodule_package：將模塊包裝到.pp文件中以進(jìn)行安裝。

• 半模型：加載或刪除策略模塊。

有用的管理工具

• 精確：調(diào)整諸如文件上下文，布爾值，端口和用戶之類的設(shè)置。

• setSebool ：切換運(yùn)行時(shí)selinux boolean值。

• RESTORECON ：還原文件上的默認(rèn)SELINUX上下文。

• audit2allow ：從審核日誌生成策略規(guī)則。

實(shí)際用例

確保Web服務(wù)器（Apache示例）

1. 驗(yàn)證apache的域上下文：

ps -ez | grep apache2

2. 標(biāo)籤Web內(nèi)容目錄：

sudo semanage fcontext -a -t httpd_sys_content_t“/srv/www(/.*）？” sudo restorecon -rv /srv /www

3. 允許Apache建立網(wǎng)絡(luò)連接：

sudo setsebool -p httpd_can_network_connect 1

數(shù)據(jù)庫服務(wù)保護(hù)

Selinux可以通過執(zhí)行MySQLD_T上下文限制來防止SQL注入相關(guān)的外殼逃逸。通過隔離MySQLD過程並限制了它可以訪問的文件類型，風(fēng)險(xiǎn)表面大大降低。

對(duì)Selinux進(jìn)行故障排除

解碼否認(rèn)

最常見的問題源於政策否認(rèn)。這些出現(xiàn)在/var/log/audit/audit.log或通過journalctl中。

樣本AVC拒絕：

type = avc msg = audit（162777）：avc：pid = 1532 comm = 1532 comm =“ nginx” name =“ index.html” dev =“ sda1” ino = 12345 scontext = 12345 scontext = system_u：system_r：system_r：httpd_t：httpd_t：s0 tcontext：s0 tcontext = sifexext = unceondecon_te_te_te_te_te_te_te_te_te_te_te_t = unconfiended： TCLASS =文件

解決工具

• AUDIT2ALLO -A ：審查所有拒絕並製定政策。

• 審核2當(dāng)時(shí)：解釋拒絕背後的理由。

• 允許模式：暫時(shí)禁用執(zhí)行：

sudo setenforce 0

解決問題後返回執(zhí)行模式：

sudo setenforce 1

Selinux vs. Apparmor在Debian上

特徵	Selinux	Apparmor
粒度	非常高（基於上下文）	中等（基於路徑）
學(xué)習(xí)曲線	陡	低的
政策範(fàn)圍	整個(gè)系統(tǒng)	特定於應(yīng)用程序
工具	先進(jìn)的	更簡(jiǎn)單
Debian默認(rèn)	不	是的

當(dāng)您需要大規(guī)模的細(xì)粒度控制和穩(wěn)健的安全性時(shí)，請(qǐng)使用SELINUX （例如，多租戶服務(wù)器）。選擇Apparmor，以獲取更簡(jiǎn)單的，配置文件驅(qū)動(dòng)的設(shè)置，其開銷最少。

結(jié)論：用Selinux提升Debian的防禦姿勢(shì)

Selinux提供了一種工業(yè)強(qiáng)度的安全模型，該模型富於Linux系統(tǒng)，遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)訪問控制所提供的範(fàn)圍。儘管它具有學(xué)習(xí)曲線，但安全利益證明了投資是合理的，尤其是對(duì)於運(yùn)行關(guān)鍵工作量的Debian用戶。

通過將Selinux集成到您的Debian工作流程中，您將獲得：

• 防彈防止未經(jīng)授權(quán)的訪問。

• 通過審核清除對(duì)政策執(zhí)法的可見性。

• 隨著環(huán)境的增長(zhǎng)，策略模塊化以適應(yīng)。

啟動(dòng)小型監(jiān)視日誌，調(diào)整策略，並逐漸從寬容到執(zhí)行模式。這樣，您將通過設(shè)計(jì)將Debian系統(tǒng)從“安全”轉(zhuǎn)換為安全。

以上是通過執(zhí)行強(qiáng)制性訪問控制以實(shí)現(xiàn)最終系統(tǒng)安全性，用Selinux加固Debian的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！