【2013年11月21日 51CTO外電頭條】今年我們已經(jīng)迎來SELinux的十歲生日，回想十載發(fā)展歷程真有種如夢(mèng)似幻之感。SELinux最早出現(xiàn)在Fedora Core 3當(dāng)中，其后又登陸紅帽企業(yè)Linux 4。對(duì)于從未使用過SELinux或者希望進(jìn)一步確認(rèn)其基礎(chǔ)定義的朋友們，請(qǐng)接著往下看。

[[90157]]

SElinux是一套標(biāo)簽系統(tǒng)。每個(gè)進(jìn)程都擁有自己的標(biāo)簽，操作系統(tǒng)中的每個(gè)文件/目錄對(duì)象都擁有自己的標(biāo)簽。甚至包括網(wǎng)絡(luò)端口、設(shè)備以及潛在主機(jī)名也被分配到了標(biāo)簽。我們通過編寫規(guī)則來控制對(duì)某個(gè)進(jìn)程標(biāo)簽?zāi)酥翆?duì)象標(biāo)簽的訪問，這就是所謂管理政策。SELinux內(nèi)核會(huì)強(qiáng)制執(zhí)行這些規(guī)則，有時(shí)候我們將這種方案稱為強(qiáng)制訪問控制（簡(jiǎn)稱MAC）。

對(duì)象的擁有者無權(quán)超越對(duì)象的安全屬性。標(biāo)準(zhǔn)Linux訪問控制、所有/組+權(quán)限標(biāo)記（例如rwx）通常被稱為自主訪問控制（簡(jiǎn)稱DAC）。SELinux中不存在UID或者文件所有權(quán)概念。所有事物都由標(biāo)簽機(jī)制進(jìn)行控制。這意味著SELinux系統(tǒng)可以在不涉及高權(quán)限r(nóng)oot進(jìn)程的前提下實(shí)現(xiàn)設(shè)置。

備注: SELinux并不會(huì)取代DAC控制。SELinux是一種并行執(zhí)行模式，應(yīng)用程序必須在同時(shí)符合SELinux與DAC的要求之后才能正常執(zhí)行。這可能會(huì)讓管理人員們?cè)谟龅綑?quán)限被拒絕的狀況時(shí)感到有些混亂。管理員權(quán)限被拒絕意味著DAC方面出了問題，但這肯定與SELinux標(biāo)簽無關(guān)。

• 類型強(qiáng)制

讓我們進(jìn)一步了解標(biāo)簽機(jī)制。SELinux的主要模式或者強(qiáng)制手段被稱為"類型強(qiáng)制"。這意味著我們需要根據(jù)進(jìn)程的實(shí)際類型為其定義標(biāo)簽，而文件系統(tǒng)對(duì)象的標(biāo)簽也同樣基于其類型。

比喻

讓我們假設(shè)有這樣一套系統(tǒng)，其中需要定義的對(duì)象類型分為貓（cat）或狗（dog）。一只貓與一條狗構(gòu)成進(jìn)程類型。

[[90158]]

現(xiàn)在我們的一類對(duì)象希望與所謂“食物”（food）進(jìn)行互動(dòng)。食物也需要分為不同類型，也就是貓食與狗食。

[[90159]]

作為政策的制定者，我打算采取這樣的處理方式：dog有權(quán)吃掉dog_chow食物，貓則有權(quán)吃掉cat_chow食物。在SELinux中，我們會(huì)把這條規(guī)則寫入政策。

• 允許貓進(jìn)程吃掉cat_chow:food;
• 允許狗進(jìn)程吃掉dog_chow:food;

有了這些規(guī)則，系統(tǒng)內(nèi)核將允許貓進(jìn)程吃掉擁有cat_chow標(biāo)簽的食物，而狗進(jìn)程則吃掉擁有dog_chow標(biāo)簽的食物。

但在默認(rèn)情況下，SELinux系統(tǒng)會(huì)阻止一切執(zhí)行請(qǐng)求。這意味著如果狗類進(jìn)程試圖吃掉cat_chow，內(nèi)核會(huì)對(duì)此加以阻止。

[[90160]]

與之類似，貓進(jìn)程也不允許接觸狗進(jìn)程的食物。

[[90161]]

實(shí)際情況

我們將Apache進(jìn)程標(biāo)簽為httpd_t，并將Apache內(nèi)容標(biāo)簽為httpd_sys_content_t與httpd_sys-content_rw_t。假設(shè)我們把信用卡數(shù)據(jù)保存在一套MySQL數(shù)據(jù)庫當(dāng)中，其標(biāo)簽為mysqld_data_t。如果某個(gè)Apache進(jìn)程并侵入，黑客就能夠獲得httpd_t進(jìn)程的控制權(quán)并獲準(zhǔn)讀取httpd_sys_content_t文件的內(nèi)容、向httpd_sys_content_rw_t當(dāng)中寫入數(shù)據(jù)。然而黑客仍然無法讀取信用卡數(shù)據(jù)（mysqld_data_t），即使被侵入的進(jìn)程以root權(quán)限運(yùn)行。在這種情況下，SELinux能夠顯著緩解由侵入活動(dòng)帶來的安全威脅。

• MCS強(qiáng)制

比喻

在前面提到的狀況里，我們輸入了狗與貓兩種進(jìn)程類型。不過如果狗進(jìn)程又分為兩種：Fido與Spot，我們又不希望Fido去動(dòng)Spot的dog_chow，情況又會(huì)發(fā)生怎樣的變化？

[[90162]]

一種解決方案當(dāng)然是創(chuàng)建大量新類型，例如Fido_dog與Fido_dog_chow。不過這種作法很快就將失去可行性，因?yàn)樗泄奉愡M(jìn)程都擁有近乎相同的權(quán)限。

為了解決這個(gè)難題，我們開發(fā)出一種新的強(qiáng)制形式，我們將其稱為多類別安全（簡(jiǎn)稱MCS）。在MCS當(dāng)中，我們?yōu)闃?biāo)簽加入另一種組成部分，并將其應(yīng)用到狗進(jìn)程與dog_chow food當(dāng)中。現(xiàn)在我們把狗進(jìn)程分別標(biāo)記為dog:random1（代表Fido）與dog：random2（代表Spot）。

[[90163]]

我們將狗食標(biāo)記為dog_chow:random1(Fido)與dog_chow:random2(Spot)。

MCS規(guī)則的內(nèi)容是：如果類型強(qiáng)制規(guī)則沒問題、隨機(jī)MCS標(biāo)簽也確切匹配，那么訪問才會(huì)被通過；如果二者中有一項(xiàng)不符合要求，訪問就會(huì)被拒絕。

Fido (dog:random1)如果嘗試吃掉cat_chow:food，則會(huì)被類型強(qiáng)制所拒絕。

Fido (dog:random1)獲準(zhǔn)吃掉dog_chow:random1。

[[90164]]

Fido (dog:random1)無法吃掉Spot的（dog_chow:random2）食物。

真實(shí)情況

在計(jì)算機(jī)系統(tǒng)當(dāng)中，我們通常會(huì)面對(duì)大量訪問相同對(duì)象的進(jìn)程，但我們希望它們彼此之間能夠被區(qū)分開來。我們有時(shí)候會(huì)將此稱為多租戶環(huán)境。處理此類環(huán)境的最佳方案就是虛擬機(jī)系統(tǒng)。如果我擁有一臺(tái)運(yùn)行著大量虛擬機(jī)的服務(wù)器，而其中一套虛擬機(jī)已經(jīng)受到黑客入侵，我肯定希望阻止黑客以此為跳板進(jìn)一步擾亂其它虛擬機(jī)以及虛擬機(jī)鏡像。不過在類型強(qiáng)制系統(tǒng)當(dāng)中，KVM虛擬機(jī)會(huì)被標(biāo)記為svirt_t，而鏡像被標(biāo)記為svirt_image_t。我們的規(guī)則是允許svirt_t讀取/寫入/刪除擁有svirt_image_t標(biāo)簽的內(nèi)容。在虛擬機(jī)標(biāo)簽機(jī)制當(dāng)中，我們不僅要采用類型強(qiáng)制方案，同時(shí)也要通過MCS對(duì)其加以區(qū)分。當(dāng)虛擬機(jī)組即將啟動(dòng)一套虛擬機(jī)系統(tǒng)時(shí)，會(huì)為其選擇一個(gè)隨機(jī)MCS標(biāo)簽，例如s0:c1,c2，而后將svirt_image_t:s0:c1,c2標(biāo)簽分配給該虛擬機(jī)需要管理的所有內(nèi)容。最后，虛擬機(jī)會(huì)以svirt_t:s0:c1,c2的標(biāo)記啟動(dòng)。這時(shí)SELinux內(nèi)核能夠控制svirt_t:s0:c1,c2無法向svirt_image_t:s0:c3,c4寫入內(nèi)容，而且這種控制能力在虛擬機(jī)受到黑客掌握且對(duì)方擁有root權(quán)限的情況下也同樣有效。

我們?cè)贠penShift當(dāng)中也使用類似的隔離機(jī)制。每個(gè)組件（包括用戶/應(yīng)用程序進(jìn)程）都以同樣的SELinux類型加以運(yùn)行（openshift_t）。政策定義規(guī)則、規(guī)則決定如何控制與組件類型及獨(dú)特MCS標(biāo)簽相關(guān)的訪問活動(dòng)，從而確保不同組件之間無法交互。

感興趣的朋友可以點(diǎn)擊此處查看一段小視頻，了解如果某個(gè)Openshift組件擁有root權(quán)限將引發(fā)怎樣的狀況。

• MLS強(qiáng)制

這是SELinux的另一種強(qiáng)制形式，但使用的頻繁要低得多，這就是多級(jí)安全（簡(jiǎn)稱MLS）；它誕生于上世紀(jì)六十年代，主要被用于Trusted Solaris等受信操作系統(tǒng)。

其主要思路在于以數(shù)據(jù)被使用的層級(jí)為基礎(chǔ)進(jìn)行進(jìn)程控制。也就是說，secrect進(jìn)程無法讀取top secret數(shù)據(jù)。

MLS與MCS非常相似，但它為強(qiáng)制機(jī)制添加了"支配"這一概念。MCS標(biāo)簽必須在完全匹配的情況下才能通過，但一條MLS標(biāo)簽可以支配另一條MLS標(biāo)簽從而獲得訪問許可。

比喻

現(xiàn)在我們不再討論不同的狗只，而將著眼點(diǎn)放在不同的狗類品種。舉個(gè)例子，現(xiàn)在我們面對(duì)的是一只灰狗與一只吉娃娃。

[[90165]]

我們?cè)试S灰狗吃任何一種狗食，但吉娃娃則無法吃下灰狗的狗食。

我們?yōu)榛夜吩O(shè)定的標(biāo)簽為dog:Greyhound，它的狗食則為dog_chow:Greyhound；而吉娃娃的標(biāo)簽為dog:Chihuahua，它的食物標(biāo)簽為dog_chow:Chihuahua。

在MLS政策之下，我們讓MLS灰狗標(biāo)簽對(duì)吉娃娃標(biāo)簽擁有支配權(quán)。這意味著dog:Greyhound可以吃掉dog_chow:Greyhound與dog_chow:Chihuahua。

但dog:Chihuahua不允許吃掉dog_chow:Greyhound。

當(dāng)然，dog:Greyhound與dog:Chihuahua仍然受到類型強(qiáng)制的影響而無法吃掉cat_chow:Siamese，即使在MLS當(dāng)中灰狗類型對(duì)暹羅貓類型擁有支配權(quán)。

真實(shí)情況

假設(shè)我擁有兩臺(tái)Apache服務(wù)器：一臺(tái)以httpd_t:Topsecret標(biāo)簽運(yùn)行，另一臺(tái)則以httpd_t:Secret標(biāo)簽運(yùn)行。如果Apache進(jìn)程httpd_t:Secret遭到侵入，黑客將能夠讀取httpd_sys_content_t:Secret內(nèi)容，但無法讀取httpd_sys_content_t:TopSecret內(nèi)容。

不過如果運(yùn)行著httpd_t:TopSecret的Apache服務(wù)器遭到入侵，則httpd_sys_content_t:Secrect與httpd_sys_content_t:TopSecret的內(nèi)容都將暴露在黑客面前。

我們將MLS機(jī)制用于軍事環(huán)境下，即某位用戶只獲準(zhǔn)查看secret數(shù)據(jù)，而另一位處于同一系統(tǒng)下的用戶則可以查看top secret數(shù)據(jù)。

總結(jié)

SELinux是一套強(qiáng)大的標(biāo)簽系統(tǒng)，通過內(nèi)核對(duì)每一個(gè)單獨(dú)進(jìn)程進(jìn)行訪問控制。其中最主要的功能就是類型強(qiáng)制，其中規(guī)則的作用是根據(jù)進(jìn)程與對(duì)象雙方的標(biāo)簽類型來判斷某個(gè)進(jìn)程是否有權(quán)讀取相應(yīng)的對(duì)象。此外另有兩種控制機(jī)制，其中MCS負(fù)責(zé)對(duì)同類進(jìn)程進(jìn)行彼此區(qū)分，而MLS則允許一種進(jìn)程擁有指向另一種進(jìn)程的支配權(quán)限。

原文鏈接：http://opensource.com/business/13/11/selinux-policy-guide#.UoWMDG-jYlE.sinaweibo