操作系统安全:selinux配置语言.docx
selinux酉己置语言SELinux策略配置语言SELinux策略配置语言策略是一套指导SELinux安全引擎计算安全决策的规那么,它定义了文件客体的类型、进 程的域、使用限制进入域的角色及访问许可的规那么表达式等。策略的源代码用SELinux配置 语言进行描述。1 .主体和客体主体(subject)和客体(object)是指系统中的元素,主体是访问客体的进程,客体 是系统中的一类实体,在系统中定义好了30种不同的客体类别(class ),每个class有定义 好的许可。由etc/security/selinux/src/policy/flask/security_dasses中有class的定义, SELinux定义了30个class ,列出如下:security process system capability filesystemfile dir fd lnk_file chr_file blk_file sock_filefifo_file socket tcp_socke tudp_socket msgq semmsgshm ipcnode netif netlink_socket packet_socketkey_socket rawip_socket unix_stream_socketunix_dgram_socket passwd每个dass都定义了操作许可,如:客体file有19个操作许可,列出如下:ioctl read write create getattr setattr lock relabelfromrelabelto append unlink link rename execute swaponquotaon mounton execute_no_trans entrypointu2 op user_setrl op role_setr2 op role_settl op type_sett2 op type_set表示式中的操作符有not、and、or、二、!二等,role_op还包括dominance (域化)操作符。下面是限制的样例:例1 :限制进程域转移下面语句限制进程域转移的能力,类型转移前后进程的角色一致,或者,进程有类型为privroleoconstrain process transition( rl = r2 or tl = privrole);例2 :限制标识客体下面的语句限制标识客体的能力,即标识客体时,标识前后客体的用户身份一致或者标识前 进程的域为privowner。constrain dir_file_class_set create relabelto relabelfrom (ul = u2 or tl = privowner);constrain socket_class_set create relabelto relabelfrom (ul = u2 or tl = privowner);标识安全上下文标识安全上下文.给SID定义上下文语5去:sid sidjdentifiers ecurity_contextsid_identifier是以前申明的 SID名,security_context user:role:typeo一些策略库预定义的SID在policy/initial_sid_contexts中,.文件系统的标识行为当文件系统被SELinux内核挂接(mount)上时,安全服务器决定给基于filesystem类型的 文件系统里的节点合适的标识行为。一个filesystem类型的标识行为可以用fs_use配置或用 genfs_contexts进行配置。如果在策略里没有给filesystem类型指定标识行为,文件系统的 所有节点将用unlabeled初始化的SID的安全上下文标识。对于有唯一且永久的节点号的传统文件系统来说,SELinux用一个永久的标识映射来决定文 件系统内的节点的安全上下文和文件系统本身的安全上下文。这个行为用fs_use_psid来标 明,对于代表管道和socket对象的伪文件系统,SE Linux常指定创立进程的上下文给代表对象的 节点。这个行为用fs_use_task来声明。其中安全上下文是文件系统本身用到的。pipefs和sockfs是指哪一种文件系统。对于代表伪终端和共享内存对象的伪文件系统,SE Linux常指定从创立进程的上下文和与文 件系统类型相关的上下文中派生出上下文。派生出的上下文由配置中的类型转移来决定。行 为由fs_use_trans来声明。1 .指定文件系统上下文对于不支持永久标识映射的文件系统,或不能用一个固定的由fs_use定义的标识的文件系 统,genfscon配置可用来指定文件系统或文件路径或文件的安全上下文。文件系统对象上 下文与文件系统的根目录一致。在policy/genfs_contexts中有使用genfscon的例子。genfscon的语法是: genfscon fs_type pathprefix -file_type context其中,pathprefix是对象名字的局部路径名,file_type是可选的文件类型定义b, c, d, p, I, s, 或-(看shell命令"Is"的选项)。2 .网络对象上下文网络对象上下文配置允许为端口、接口和节点定义安全上下文。其中网络接口有两个相关的 安全上下文:接口的上下文和接口上接收到的没标识包的默认上下文。3 .文件上下文配置文件上下文配置位于policy/file_contexts目录下,用来做永久的标识映射,可以在policy 目录运行make relabel可更新或创立标识映射。boolean及条件描述语句boolean及条件描述语句1 . booleans是策略中声明的参数,值是true或fa Ise ,在运行时可以改变的。语法:bool name default.value;例:bool user_ping false;2 .条件描述语句:if (conditional expression) #有效的策略描述 else #有效的策略描述)例:允许用户使用pingbool user_ping false;if (user_ping) domain.autoJransCunpriV-Userdomain, ping_exec_t, ping_t)# allow access to the terminalallow ping_t ttyfileptyfile: chr_file rw_file_perms;)3 .查看和设置boolean通过selinuxfs文件系统在/selinux/booleans和 /selinux/commit_pending_bools中人工设置。用show_bools命令显示策略boolean的当前值。用set_bools命令设置boolean的值。2 .安全上下文与安全标识符SELinux给每个主体和客体定义了一个安全上下文(security context)。安全上下文 是对主体或客体安全的描述,其格式为:user:role:type ,如:root:sysadm_r:sysadm_t, 其中root为用户ID ( user) , sysadmj为角色ID (role ) , sysadmj为类型(type ) ID0 安全上下文代表了SELinux的访问控制属性。安全标识符(security identifier,简称SID ) 是内核中激活的安全上下文的序号。一般情况下,多个属性的组合形成类型,多个类型的组合形成角色,多个角色的组合形 成用户。有的属性也可能覆盖多个类型的范围,在安全上下文中最重要的是类型。在文件系统中的每个文件或目录、网络的端口等都指定了一个安全上下文,安全策略那么 给出了各个安全上下文之间作用的规那么。例如:Spo I icy/f i Ie_co ntexts/prog ra m/ch root.f c,文件ch root的安全上下文被定 义如下:/usr/sbin/chroot system_u:object_r:chroot_exec_t3 .类型和类型属性一个进程的类型(type )又称为域dormain ,客体的角色常称为object,。类型在策略 管理中是用得最多的局部,特别是在类型增强(TE )中。每个用户有相配的角色,角色有 与用户组相关的域类型,而域类型又指定了对客体类型的访问控制权限。类型的属性(Type Attributes )是与一组类型相关的概念。它在TE规那么里可代替类型, 类型、别名、类型的属性共享同一个名字空间。类型属性定义的语法如下:type type_namealiasalias_name(s) ,attribl, .» attribn;例如:type passwd_exec_t, file_type, sysadmfile, exec_type;其含义是:将属性file_type、sysadmfile和exejtype定义给类型passwd_exec_t。4 . TE模型和RBAC模型TE模型给进程和客体提供了良好的颗粒控制。RBAC提供了高层次的简化用户管理。 SELinux安全模型是TE模型和RBAC模型的联合体。TE模型是支持程序运行和域转移的强大类型控制,主体为运行的进程,进程为域类型。 TE访问矩阵定义了域可以访问什么类型的客体,还定义了域类型转移。SELinux类型转移或 访问控制基于一对安全上下文和类型的class。RBAC是基于角色的访问控制(Role-based Access Control)模型,传统的RBAC模型 是对角色进行授权,然后将一个或多个角色分配给一个授权用户。SELinux的RBAC模型是: 给一个域类型指定授权然后将域类型指定给角色相一个或多个角色指定给一个授权用户。例如:root:sysadm_r:sysadm_t中的sysadm_r就是角色。在每个安全上下文中有一个 角色ID ,对主体来说,它代表了主体当前的角色,对客体来说,角色典型值为object/ ,角 色对客体来说没意义。TE规那么的描述TE规那么的描述主体对客体的访问在规那么中需要有四个要素,分别说明如下:源类型(source type ):它是主体或者域(一个进程)的类型。目标类型(target type ):它是客体的类型。对象类别(class ):它是访问申请的某一类别资源,如:file。许可(permission ):表示主体对客体访问时允许的操作类型。如:read。TE规那么是策略中的主要局部,它包括1 .属性的定义属性(Attribute )是具有相似特征的安全类型的组,它是一项工作(如:privmodule ) 的域类型或者系统中一类客体的所有类型(如:proc.fs ),属性是从使用者角度考虑的一 项特性属性名可在策略配置中一直使用,属性名与类型在同一个名字空间中存在。但一个属性 名不能放在安全上下文的类型的位置上。属性对可选的MLS策略来说很重要,它的定义样 例如下:attribute domain;#这个属性代表了能指定给进程的每种类型attribute privuser;#代表能改变它的selinux用户IDattribute privrole;#代表能改变它的selinux角色IDattribute privmodule;# 代表能运行 mod probeattribute privmem;#代表能访问内核内存设备attribute proc_fs;#能指定给/proc下文件的所有类型下面说明一些非常有用的属性:1 ) dcontent属性 dcontent将与Apache 的策略相关的各种类型组合在一起。它帮助 Apache 的PHP脚本蘸用 d的带有content字符的类型。2 ) file_type属性file_type用于指定给文件的所有类型,当域访问所有的文件类型时,使用它是方便 的。属性file_type包括超过170种类型。3 )属性netif_type, port_type和node_type这些属性与域的网络活动有关。netif_type表示与网络接口相关的类型,允许策略控制 在一个接口的发送、接收和其他操作。4 ) fs_type属性fs_type标识指定给文件系统的所有类型,它允许大多数域获得全部文件系统的统 计信息,一些特殊的域可以挂接任何文件系统。5 ) exec_type属性exe jty pe是指定给可执行条目的所有类型的集合。6 ) domain属性domain用于进程的所有类型,用来识别SELinux的域,在其他类型的强制系统中, 域可能与类型分开使用,在SELinux中,域是具有domain属性的基本类型。这个属性允许 规那么应用到所有的域。如:init发送信号到所有的进程。7 ) reserved_port_type属性reserved_port_type标识任1可一个保存网络商品的所有类型。保存端口的编号小 于1024。2 .类型的定义类型在它使用之前必须定义,定义的语法如下:type <typename> aliases attributes;类型定义的样例如下:# d_config_t是一个系统管理文件的类型type d_config_t, file_type, sysadmfile;# d_port_t是保存的端口,端口号小于1024type _port_t, port_type, reserved_port_type;域是用于进程的类型,由它的domain属性决定类型。同一类型可以用于进程本身和与 之相关的/proc文件系统中文件。通常,域用作操作的源上下文,域是操作者。域还可用作 客体上下文,如:当init给一个域发送信号时,域作为客体。域的数量和种类决定了安全策略的复杂性。更多的域意味着更好的安全控制,也意味着 配置和维护的困难。3 . TE访问向量规那么(TE Access Vector Rules )访问向量(Access vectors ,AVs )规那么允许域访问各种系统客体,一个AV是一套许可。一个基本的AV规那么是主体和客体的类型对,AV规那么的语法如下:<av_kind> <source_type(s)> <target_type(s)>:<class(es)> <permission(s)>策略强制引擎认为所有的AV规那么由两个类型、一个类别(class )和一个访问许可集组 成。AV有以下四种规那么类型,即<av_kind>在以下四种设置:allow表示允许主体对客体执行允许的操作。neverallow表示不允许主体对客体执行指定的操作。auditallow 表示允许操作并记录访问决策信息。dontaudit表示不记录违反规那么的决策信息,且违反规那么不影响运行。4 . log消息格式当SELinux不允许一个操作时,将产生一个给审核log的否决消息,log消息一般记录在 文件/var/log/messages 中。5 . TE转移规那么(TE Transition Rules )域转移运行一个文件,产生一个运行在新域的新进程,类型转移将一个新客体标识为不 同于源类型的类型。类型转移的语法如下:type_transition <source_type(s)> <target_type(s)> : <class(es)> <new_type>域转移语法如下:type_transition <current_domain> <type_of_program> : process <new_domain>类型转移规那么定义了不同域文件的类型转移。如果进程显式请求一个特殊上下文,域转 移默认时能被覆盖。文件的类型转移默认时实际上从父亲继承,即新的文件从它的父目录继承上下文,除非 有一个明确的规那么指明它从创立者继承。例如:目录/类型为user_home_dir_t,策略定义 了在带有这个类型的目录中创立的文件用user_home_t标识。6 . m4宏定义SELinux使用m4宏语言写可重用的策略规那么。m4宏定义提供了易用的操作组合,它本 身不属于SELinux策略语言的。RBAC规那么的描述RBAC规那么的描述在target策略中,每个域运行在单个角色,target策略没有使用用户和角色,但strict 策略中使用了用户和角色。1 .角色的定义角色的定义语法如下:role <rolename> types <domain(s)>角色定义样例如下:#允许管理者角色访问域Idconfigrole sysadm_r types ldconfig_t;角色能包含其他角色,继承包含的角色的权限,这种继承称为角色域化。角色域化没有用在targted策略中。角色域化的样例如下:# mastej吆性承sysadm_r<luser_r角色的权限 dominance role master_r role sysadm_r; role user_r;.角色转移多个域组成一个角色,每个进程有一个角色,它用系统角色system,启动。用户在注册时 获得一个角色,使用su时用户在获得新的UID同时,还获得新的角色。当然,还可以保持 UID不变而改变角色,这种做法较少见。一般域经常变化但角色很少变化,特别是在targeted 策略中。改变角色的另一个方法是角色转移(role.transition ),角色转移用得较少,当前 仅用在stricter策略中管理者角色以不同的角色启动后台,角色转移样例如下:#当一个管理者执行一个$l_exec_t类型的进程时,进程从sysadm转移到system, role_transition sysadm_r $l_exec_t system_r;角色允许的语法如下:allow <current_role(s)> <new_role(s)>角色允许的样例列出如下:#允许角色user_r转移到新角色 allow user_r sysadm_r;.用户定义SELinux用户身份不同于UNIX身份,它用于安全标签的一局部,在限定条件下可实时切换。 SELirwx用户身份主要不用在targeted策略中。在targeted策略中,进程与客体的身份都是 system_u , Linux默认用户是user,。当用户身份是策略的TP分时,它们通常与Linux账 户名(UID)是一致的。在strict策略中,一些系统账户能运行在通用的非特权的useju身份, 其他账户在策略库中有直接的用户身份。Linux的UID和SELinux用户身份应该匹配,因为注册或类似的应用程序将查找这种匹配,如 果无法匹配将使用user,身份。用户定义的语法如下:user <user_identifier> <roles>role_list;一个用户定义的样例如下:user root user_r sysadm_r;一些特殊的用户说明如下:system.u系统进程和资源的用户,linux用户不能创立它,也不能删除它。user.u linux普通用户,在策略中没定义,没定义的普通用户是不能登录机器的。login, sshd,和cr。nd命令运行登录时设置安全上下文,默认的安全上下文由下面文件决定:policy/contexts/users/username (per-user defaults)policy/contexts/defauIt_contexts(system defaults)限制规那么限制规那么限制规那么给操作许可提供了最终的跨层次的限制。限制规那么用Boolean表达式表示。限制的定义语法为:constrain <class_set> <perm_set> <expression>其中表达式expression列出如下:ul op u2#ul和u2分别表示操作前后的用户身份rl role_op r2树1和r2分别表示操作前后的角色tl op t2#tl和t2分别表示操作前后的类型 ul op user_set # usejset表示用户身份集