适用场景：安全工程师、系统管理员（高安全环境）
文章主旨：深入讲解SELinux的强制访问控制机制，从基本概念到策略编写、布尔值调整、审计日志分析，以及常见问题的排查与解决方案。

Linux安全纵深防御：SELinux策略定制与审计实战

SELinux（Security-Enhanced Linux）是Linux内核的强制访问控制（MAC）系统，为进程和文件提供细粒度的权限控制。许多管理员遇到SELinux问题选择直接禁用，这大大降低了系统的安全性。本文旨在帮助读者真正掌握SELinux，从原理到实战，让安全与业务并存。

一、SELinux核心概念

1.1 主体、客体与安全上下文

• 主体（Subject）：进程

• 客体（Object）：文件、端口、套接字等

• 安全上下文（Security Context）：每个主体和客体都有一个标签，格式为 user:role:type:level（如 system_u:object_r:httpd_sys_content_t:s0）

• 类型强制（Type Enforcement）：最重要的组成部分，通过type决定访问权限。规则如“允许httpd_t类型的进程读写httpd_sys_content_t类型的文件”。

1.2 工作模式

• Enforcing：强制模式，违反策略会被阻止并记录AVC（Access Vector Cache）拒绝日志。

• Permissive：宽容模式，只记录不阻止。

• Disabled：禁用。

getenforce
setenforce 1    # 设置为Enforcing
setenforce 0    # 设置为Permissive

永久修改/etc/selinux/config。

二、安全上下文管理

2.1 查看安全上下文

ls -Z /var/www/html/index.html
ps -eZ | grep httpd

2.2 修改文件上下文

# 临时修改
chcon -t httpd_sys_content_t /var/www/html/index.html

# 恢复默认策略定义的上下文
restorecon -v /var/www/html/index.html

# 递归恢复目录
restorecon -Rv /var/www/html

2.3 修改默认文件上下文规则

使用semanage fcontext添加持久规则：

semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"
restorecon -Rv /web

三、布尔值（Boolean）调整

布尔值允许在不修改策略的情况下切换某些权限。例如允许httpd访问网络、允许Samba共享用户家目录。

# 查看所有布尔值
getsebool -a

# 查看特定布尔值
getsebool httpd_can_network_connect

# 设置布尔值
setsebool httpd_can_network_connect on

# 永久生效
setsebool -P httpd_can_network_connect on

常用布尔值示例：

• httpd_can_sendmail：允许httpd发送邮件

• allow_ftpd_full_access：允许FTP完全访问

• virt_use_nfs：允许虚拟化使用NFS

四、SELinux策略调试与审计

4.1 审计日志（AVC）

拒绝信息记录在/var/log/audit/audit.log（若auditd运行）或/var/log/messages。

查看最近拒绝：

ausearch -m avc -ts recent

示例输出：

type=AVC msg=audit(1612345678.123:456): avc:  denied  { read } for  pid=1234 comm="httpd" name="index.html" dev=sda1 ino=56789 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:default_t:s0 tclass=file

解读：httpd_t试图读取一个类型为default_t的文件，被拒绝。

4.2 使用audit2why和audit2allow

audit2why解释拒绝原因，audit2allow生成自定义策略模块。

# 分析原因
grep "denied" /var/log/audit/audit.log | audit2why

# 生成策略模块（允许所有拒绝的操作，需谨慎）
grep "denied" /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp

五、自定义策略编写

当默认策略和布尔值都无法满足需求时，需要编写自定义策略模块。

5.1 使用audit2allow生成模板

ausearch -m avc -ts recent | audit2allow -m mylocal > mylocal.te

5.2 手动编写.te文件

示例：允许httpd读取自定义目录/custom_data（类型为default_t）。

创建文件httpd_custom.te：

module httpd_custom 1.0;

require {
    type httpd_t;
    type default_t;
    class file { read open getattr };
}

#============= httpd_t ==============
allow httpd_t default_t:file { read open getattr };

5.3 编译并加载模块

checkmodule -M -m -o httpd_custom.mod httpd_custom.te
semodule_package -o httpd_custom.pp -m httpd_custom.mod
semodule -i httpd_custom.pp

5.4 查看已加载模块

semodule -l

六、常见SELinux问题排查

6.1 Web服务器403 Forbidden

可能原因：文件上下文错误。检查/var/log/audit/audit.log，若为httpd_t访问default_t，使用chcon或restorecon修正。

6.2 FTP上传失败

检查布尔值allow_ftpd_full_access，若未开启则setsebool -P allow_ftpd_full_access on。

6.3 Nginx无法代理端口

SELinux可能阻止Nginx连接网络端口。开启布尔值httpd_can_network_connect。

6.4 自定义应用权限不足

使用audit2allow生成策略，但注意审查生成的规则，避免过度授权。最佳实践：只允许必要的最小权限。

七、SELinux与容器安全

容器运行时，Docker默认以container_t类型运行，与宿主机SELinux策略隔离。可通过以下方式调整：

# 查看容器进程上下文
docker inspect --format='{{.ProcessLabel}}' container_name

# 为容器指定上下文
docker run --security-opt label:type:svirt_apache_t --security-opt label:level:s0:c1,c2 nginx

八、SELinux策略调优建议

1. 不要轻易禁用SELinux，除非彻底评估风险。

2. 使用Permissive模式临时排查：在业务低峰期将模式设为Permissive，观察日志并生成所需策略。

3. 定期审查布尔值：getsebool -a列出所有布尔值，关闭不需要的。

4. 最小权限原则：自定义策略只允许必需的访问。

九、总结

SELinux虽然学习曲线陡峭，但一旦掌握，将成为纵深防御体系中的有力武器。通过理解安全上下文、布尔值调整、审计分析和策略编写，你可以在保障业务运行的同时，极大提升系统的安全性。建议在测试环境中模拟常见场景，逐步积累经验。