在一個網(wǎng)絡(luò)威脅正在迅速發(fā)展的時代，保護Linux系統(tǒng)遠遠超出了基本用戶權(quán)限。諸如DIPARTAIRY訪問控制（DAC）之類的傳統(tǒng)安全機制為特權(quán)升級，申請妥協(xié)和內(nèi)部威脅提供了有限的保障措施。為了解決這些局限性，安全增強的Linux（SELINUX）為強制性訪問控制（MAC）提供了一個強大的，細粒度的框架 - 不僅僅是基於紅色帽子的發(fā)行版。

在本文中，我們將探討如何將Selinux整合到Debian ，Debian是最廣泛使用和受人尊敬的GNU/Linux分佈之一。我們將分解其體系結(jié)構(gòu)，設(shè)置過程，策略管理和故障排除技術(shù)。無論您是運行關(guān)鍵任務(wù)服務(wù)器還是尋求硬化桌面環(huán)境，本指南都會向您展示Selinux如何將系統(tǒng)安全性提升到企業(yè)級標準。

了解Selinux的基礎(chǔ)

什麼是Selinux？

Selinux是由美國國家安全局（NSA）與開源社區(qū)合作開發(fā)的內(nèi)核安全模塊。它通過強制執(zhí)行基於策略的規(guī)則來介紹強制性訪問控件的概念，該規(guī)則嚴格定義了過程和用戶??如何與文件，目錄，插座和設(shè)備進行交互。

與DAC不同的是，在文件所有者控制訪問的情況下， MAC策略由系統(tǒng)管理員強加並由內(nèi)核執(zhí)行，而不管用戶所有權(quán)或權(quán)限如何。

Selinux的核心組成部分

• 主題：主動實體（通常是過程）。

• 對象：被動實體（例如文件，目錄，設(shè)備）。

• 上下文：分配給主題和對象的安全標籤。

• 類型/域：用於定義訪問規(guī)則和行為。

• 策略：確定訪問控制邏輯的書面規(guī)則集。

執(zhí)法模式

• 執(zhí)行：SELINUX政策被應(yīng)用並違反。

• 允許的：政策沒有執(zhí)行，但違規(guī)行為已記錄。

• 禁用：Selinux完全關(guān)閉。

Selinux在Debian：現(xiàn)實檢查

傳統(tǒng)上，Debian偏愛Apparmor的簡單性和易於整合性。但是，Selinux支持完全存在於Debian的存儲庫中。截至Debian 12（Bookworm）及以後，整合Selinux比以往任何時候都更加精簡和記錄。

為什麼在Debian上使用Selinux？

• 粒狀控制對系統(tǒng)資源的訪問。

• 強制性政策可以防止特權(quán)升級和未經(jīng)授權(quán)的行動。

• 策略模塊化允許在系統(tǒng)服務(wù)跨系統(tǒng)執(zhí)行。

• 強大的審核工具有助於發(fā)現(xiàn)錯誤的配置和可疑活動。

在Debian上安裝和啟用Selinux

先決條件

確保您的系統(tǒng)符合以下要求：

• 運行支持的Debian內(nèi)核（4.x或更新）。

• 根訪問或sudo特權(quán)。

步驟1：安裝Selinux軟件包

sudo apt更新sudo apt安裝selinux-basics selinux-policy-default auditd politioncoreutils

步驟2：在啟動時配置Selinux

編輯grub配置以在啟動時啟用Selinux：

sudo nano/etc/default/grub

添加selinux = 1安全= selinux到grub_cmdline_linux_default行：

grub_cmdline_linux_default =“ letim selinux = 1安全= selinux”

更新grub：

sudo update-grub

步驟3：重新啟動並重新標記文件系統(tǒng)

在SELINUX可以正常運行之前，必須將整個文件系統(tǒng)重新標記為適當?shù)陌踩h(huán)境：

sudo touch /autorelabel sudo重新啟動

在重新啟動時，系統(tǒng)將掃描並重新標記所有文件，這可能需要幾分鐘。

步驟4：驗證Selinux狀態(tài)

Sestatus

預(yù)期輸出在執(zhí)行模式下：

Selinux狀態(tài)：啟用當前模式：執(zhí)行策略版本：33策略來自配置文件：目標

管理Selinux政策

默認與自定義策略

Debian與Selinux-Policy-default一起運送，這是一套全面的規(guī)則，涵蓋了SSH，Apache，Cron等常見服務(wù)。

自定義策略是使用以下工具創(chuàng)建的：

• CheckModule：將.TE（鍵入執(zhí)行）文件編譯到模塊中。

• semodule_package：將模塊包裝到.pp文件中以進行安裝。

• 半模型：加載或刪除策略模塊。

有用的管理工具

• 精確：調(diào)整諸如文件上下文，布爾值，端口和用戶之類的設(shè)置。

• setSebool ：切換運行時selinux boolean值。

• RESTORECON ：還原文件上的默認SELINUX上下文。

• audit2allow ：從審核日誌生成策略規(guī)則。

實際用例

確保Web服務(wù)器（Apache示例）

1. 驗證apache的域上下文：

ps -ez | grep apache2

2. 標籤Web內(nèi)容目錄：

sudo semanage fcontext -a -t httpd_sys_content_t“/srv/www(/.*）？” sudo restorecon -rv /srv /www

3. 允許Apache建立網(wǎng)絡(luò)連接：

sudo setsebool -p httpd_can_network_connect 1

數(shù)據(jù)庫服務(wù)保護

Selinux可以通過執(zhí)行MySQLD_T上下文限制來防止SQL注入相關(guān)的外殼逃逸。通過隔離MySQLD過程並限制了它可以訪問的文件類型，風險表面大大降低。

對Selinux進行故障排除

解碼否認

最常見的問題源於政策否認。這些出現(xiàn)在/var/log/audit/audit.log或通過journalctl中。

樣本AVC拒絕：

type = avc msg = audit（162777）：avc：pid = 1532 comm = 1532 comm =“ nginx” name =“ index.html” dev =“ sda1” ino = 12345 scontext = 12345 scontext = system_u：system_r：system_r：httpd_t：httpd_t：s0 tcontext：s0 tcontext = sifexext = unceondecon_te_te_te_te_te_te_te_te_te_te_te_t = unconfiended： TCLASS =文件

解決工具

• AUDIT2ALLO -A ：審查所有拒絕並製定政策。

• 審核2當時：解釋拒絕背後的理由。

• 允許模式：暫時禁用執(zhí)行：

sudo setenforce 0

解決問題後返回執(zhí)行模式：

sudo setenforce 1

Selinux vs. Apparmor在Debian上

特徵	Selinux	Apparmor
粒度	非常高（基於上下文）	中等（基於路徑）
學(xué)習曲線	陡	低的
政策範圍	整個系統(tǒng)	特定於應(yīng)用程序
工具	先進的	更簡單
Debian默認	不	是的

當您需要大規(guī)模的細粒度控制和穩(wěn)健的安全性時，請使用SELINUX （例如，多租戶服務(wù)器）。選擇Apparmor，以獲取更簡單的，配置文件驅(qū)動的設(shè)置，其開銷最少。

結(jié)論：用Selinux提升Debian的防禦姿勢

Selinux提供了一種工業(yè)強度的安全模型，該模型富於Linux系統(tǒng)，遠遠超出了傳統(tǒng)訪問控制所提供的範圍。儘管它具有學(xué)習曲線，但安全利益證明了投資是合理的，尤其是對於運行關(guān)鍵工作量的Debian用戶。

通過將Selinux集成到您的Debian工作流程中，您將獲得：

• 防彈防止未經(jīng)授權(quán)的訪問。

• 通過審核清除對政策執(zhí)法的可見性。

• 隨著環(huán)境的增長，策略模塊化以適應(yīng)。

啟動小型監(jiān)視日誌，調(diào)整策略，並逐漸從寬容到執(zhí)行模式。這樣，您將通過設(shè)計將Debian系統(tǒng)從“安全”轉(zhuǎn)換為安全。

以上是通過執(zhí)行強制性訪問控制以實現(xiàn)最終系統(tǒng)安全性，用Selinux加固Debian的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！