3.1 SELinux概述

第3章  SELinux访问控制机制

SELinux使用了分级的强制访问控制，是Linux内核的重要安全措施。SELinux的安全策略工具可从http://oss.tresys.com/projects下载。本章分析了SELinux的安全机制，介绍了安全策略配置语言、内核策略库的结构，简述了SELinux内核模块的实现，还分析了用户空间的客体管理器。

3.1  SELinux概述

SELinux是安全增强了的Linux，是Security-enhanced Linux的简写，SELinux改进了对内核对象和服务的访问控制，改进了对进程初始化、继承和程序执行的访问控制，改进了对文件系统、目录、文件和打开文件描述的访问控制，还改进了对端口、信息和网络接口的访问控制。

早期的Linux内核只提供了经典的UNIX自主访问控制（root用户，用户ID，模式位安全机制），以及部分地支持了POSIX.1e标准草案中的capabilities安全机制，这对于Linux系统的安全性是不够的，NSA（the National Security Agency）和SCC（Secure Computing Corporation）共同开发了强大的基于类型加强（Type Enforcement）的强制访问控制（mandatory access control，简称MAC）机制，提供了动态的安全策略机制。

Linux内核增加了一个通用的安全访问控制框架，它通过hook函数来控制程序的执行，这个框架就是Linux安全模块（LSM），在LSM上可使用各种安全控制机制（如：Flask机制）来实现对程序的控制。

SELinux应用了类型加强（Type Enforcement，TE）和基于角色访问控制（role-based access control，RBAC）技术。
TE给每个主体（进程）和系统中的客体定义了一个类型，这些类型定义在SELinux的安全策略文件中，以安全标签形式存放在文件本身的扩展属性（extended attributes，简称xattrs）里。

当一个类型与一个进程相关时，这个类型称为域（domain），例如：后台进程httpd的域为httpd_t。

主体（subject）对客体（object）的操作在SELinux中默认下是不允许的，而由策略定义允许的操作。TE使用主体的域和客体类型从策略文件中查找操作许可。例如：策略中的一条规则如下：

allow httpd_t net_conf_t:file { read getattr lock ioctl };

这条规则表示httpd_t域对net_conf_t类型客体的文件有“{}”中所表示的操作权限。

SELinux的访问控制规则存放在安全策略文件中，策略文件分为二进制和源代码文件，源代码以策略配置语言的形式描述，由编程者创建和维护。源代码经策略配置工具编译后生成二进制文件。二进制策略被装载到内核空间，形成在内存中的策略库及缓存，内核就可以使用访问控制规则了。

SELinux可以实现非常小颗粒的访问控制，这些细小颗粒的访问控制也造成了安全策略的复杂性。

Linux内核的SELinux安全体系由Flask和LSM框架共同组成，LSM是由hook函数组成的安全控制框架，Flask框架将SElinux的策略规则转换成访问控制许可。

在安全策略配置语言中经常用到的名称术语说明如下。

subject 主体，常指一个进程
object 客体，常指一个文件
object class客体的类
permission 许可
context上下文
user  用户
role  角色
type 类型
Type Attributes 类型属性
Type Enforcement 类型增强
dormain 域，它是一个进程的类型
source type  源类型
target type  目标类型
labeling  标识
access vector cache (AVC) 访问向量缓存
access decision 访问决策