浅尝基于SELinux环境下的Web文件访问控制

一、 背景

近期对零信任模型充满了兴趣，那什么是零信任呢？简单的讲，零信任是一种新的思想重新组合了已有技术，实现相对于传统而言的安全访问控制。零信任不是本篇的主角，本篇文章是借着对访问控制的兴趣，重温了SELinux下的强制访问控制机制。

本文将概括SELinux的强访问控制原理，以一个实际的Web服务器文件控制实例，记录温故的“新”收获，最后罗列出在SELinux中常用到的相关组件安装装和查询命令，以供有兴趣的童鞋继续体验和探索。

二、 SELinux强制访问控制基本组件和原理

SELinux起源于美国国家安全局的一些项目，在传统linux的基础上，开发出更加安全的操作系统。SELinux的强制访问控制机制主要是内核层通过Flask架构实现。对于Flask架构，我们重点了解3个关键内容：安全服务器、客体管理器、访问向量缓存。

图 1Flask架构（图片来自网络）

1、安全服务器。安全服务器中主要包含了访问控制策略，提供访问是否被允许的决策依据。

2、客体管理器。客体管理器分布在不同的内核子系统中，比如进程子系统、文件子系统等。当主体向客体发起访问时，由客体管理器向安全服务器查询访问控制策略，当查到当前类型的主体与客体的访问关系时，会根据明确的结论（允许、拒绝）反馈给客体管理器。

3、访问向量缓存。为了提高访问控制决策的高效性，节省不必要的性能开销，访问向量缓存将安全服务器已经计算过的访问策略缓存下来，客体管理器可直接读取缓存的规则。

三、 Web文件访问控制

接下来，我们以Web服务器文件夹中的文件访问为例，浅尝强制访问控制的魅力。

3.1 实验环境

1、操作系统：CentOs 7

2、Web服务器的文件根路径是：/var/www/html。

3.2 实验步骤

首先，在Web服务器中查看当前文件“index.php”的文件标签，输入命令：“ls -Z”（-Z是查看文件的强制标签属性）。

上图中可以看到在“index.php”前面，有被“：”分隔的4部分内容，即“system_ubject_r:httpd_sys_content_t:S0”。这部分我们可称为该文件的一个标签，在SELinux中被称为上下文，构成结构是“用户：角色：类型：灵敏度”。

当前在浏览器中也能正常访问文件“index.php”。

现在我们在当前用户的根目录下（/root/），新生成一个网页文件（“123.php”），然后将该文件移动到web目录下，然后查看web目录下所有文件的上下文（标签）。

然后在浏览器中访问失败，被告知没有权限访问这个文件。

没有权限访问是因为这个文件的类型是“admin_home_t",而不是"httpd_sys_content_t"。在web目录下的文件，只要是”httpd_sys_content_t“的类型，就能被浏览器的用户访问。所以接下来，我们将文件“123.php”的类型做一次修改，然后再尝试访问。

输出命令：“semanage fcontext -a -t httpd_sys_content_t /var/www/html”

这条命令会向“/etc/selinux/targeted/contexts/files”的“file_contexts.local”文件写入该内容，用于后期更新、恢复文件夹里的文件类型。

然后我们使用命令：“restorecon -Rv /var/www/html”，将修改指定文件夹下（/var/www/html）的文件上下文，然后检查上下文修改是否成功。在下图中，可以看到“123.php”的上下文已修改成功。

此时，我们在浏览器中也可正常访问到“123.php”文件内容了。

四、 扩展-查看用户、角色、类型等命令

1、semanage命令需安装“policycoreutils-python”工具。安装命令：yum -y install policycoreutils-python。

2、查看SElinux用户种类的命令：seinfo -u

3、查看角色种类的命令：seinfo -r

4、查看类型种类的命令：seinfo -t

5、seinfo命令，需安装setools-console”工具，安装命令：yum install setools-console

五、 总结

本文以极简的方式，完成了一次SELinux系统进程（主体）对目录和文件（客体）访问控制的体验描述，这仅代表SELinux的冰山一角，它的功能很强大，比如RBAC模型和TE模型结合下对用户访问权限的细粒度控制。大家有兴趣的话，可以想想以下问题：SELinux的安全策略如何实现自定义；SELinux访问控制的思路和零信任的访问控制有哪些类似之处。

本文作者：严波，深信服教学教研中心主任，深信服安全服务认证专家（SCSE-S），产业教育中心资深讲师，网络安全等级保护体系专家，网络安全高级咨询顾问，中国网络空间安全协会会员，中国计算机学会会员，担任中国计算机行业协会数据安全专业委员会委员，数字政府网络安全产业联盟人才培养发展委员会副主任，中国软件测评中心数据安全产业专家委员会委员，暨南大学网络空间学院校外实践指导老师，深圳大学专业学位研究生校外导师，深圳信息职业技术学院产业学院副教授等职务，持有CISAW、CISP、CCNP等行业证书；负责过省级重大网络安全项目的策划、设计、建设，具备丰富的网络安全体系建设和安全服务的实战经验。