20.10.6 SELinux

20.10.6  SELinux

正如我们已经看到的那样，Linux的安全模型有它自己的缺点。自主访问控制（这个概念的含义是，基于账号的权限来允许其对文件的访问）是一种方便但不安全的控制对文件系统对象进行访问的方法。它从本质上说是基于信任的：信任有访问权限的用户不是恶意的，信任系统管理员知道一个软件包中每个文件的正确权限，信任第三方软件包有到位的强大控制力来安装它们自己。但即便所有这些都做到了，一个软件上的安全漏洞仍然会让系统变得毫无保护。

SELinux通过使用强制访问控制（也叫做MAC）解决了这个问题。在MAC下，用户没有对对象的访问控制权。相反，系统管理员规定了系统级的访问策略。MAC策略要落实得好，就得依靠最小特权原则（只有必须的时候才允许访问），这非常像一个正确设计好的防火墙，只让认得出的特殊服务和客户机通过。MAC能够让在执行代码上有漏洞的软件（例如，缓冲区溢出）不能破坏系统，办法是把漏洞的作用范围限制在该软件所需要的特定资源上面。

SELinux是一个NSA的项目，从2000年末就可以免费获得。它已经被集成到2.6版的Linux内核中。不过，各个Linux发行版本采用的SELinux相当薄弱，而RHEL和Fedora是个例外。

访问控制策略的开发是一个复杂的话题。至少有一家公司能提供一种3天的SELinux策略。例如，为了保护一个新的守护进程，一个策略必须仔细枚举出所有的文件、目录和该进程需要访问的其他对象。对于像sendmail或者Apache httpd这样的复杂软件，这个任务也非常复杂。
幸好网上有很多通用策略。这些策略安装起来很容易，而且可以针对您的特殊环境进行配置。在seedit.sourceforge.net可以找到一个完善的策略编辑器，其目标是方便策略应用的使用。

SELinux出现在RHELv4以后的版本里。Fedora把该软件收入Core 2版， 并且在Core 3里加入了更多的支持。默认安装的Fedora和RHEL实际上一装好就具有一些SELinux的保护功能。

 SELINUX=enforcing
SELINUXTYPE=targeted

第一行有三个可能的值：enforcing、permissive或者disabled。设置enforcing则保证会实施被加载的策略，禁止出现违反该策略的情况。设置permissive则允许违反策略，但会通过syslog把它们记录下来。设置disabled则完全关闭SELinux。

SELINUXTYPE指要应用的策略类型。Red Hat和Fedora都有两种策略：targeted为Red Hat已经保护起来的守护进程规定了更多安全措施 ，strict则保护整个系统。虽然有strict这个策略，但是Red Hat并不支持它，这个限制太严格了，系统很难使用。策略targeted提供了对重要的网络守护进程的保护，又不会影响到整体系统的使用，至少从理论上说是这样。但即便是targeted策略也不完美。如果您在新安装的软件上遇到了问题，可以检查/var/log/messages看看有没有SELinux的错误。

SUSE使用它自己的MAC实现，这个实现称为AppArmor，它不带SELinux。

Russel Coker维护着Debian和Ubuntu能用的SELinux软件包，他是 Red Hat公司的人，是他做的strict和targeted这两个策略。