Linux -> SELINUX

Linux是基于GNU下的开源操作系统内核(UNIX,C,GNU,Linux)

SELinux是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统。

SELinux在Linux Kernel中通过Linux Security Modules实现,在2.6之前,通过Patch方式发布; 从2.6开始,SELinux正式入驻内核,成为标配。

Linux有多种发行版本,各家的SELinux表现形式也略有区别。SEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。

DAC -> MAC

SELinux出现之前,Linux上的安全模型叫DAC,全称是Discretionary Access Control,翻译为自主访问控制。

SELinux在DAC之外,设计了一个新的安全模型,叫MAC(Mandatory Access Control),翻译为强制访问控制。

Linux系统先做DAC检查。如果没有通过DAC权限检查,则操作直接失败。通过DAC检查之后,再做MAC权限检查。

DAC Detail

没有SELinux之前Linux的安全模型即DAC。

DAC它的核心内容是:在Linux中,进程理论上所拥有的权限与执行它的用户的权限相同。

用户和组ID信息控制

用户、组、口令信息

通过 /etc/passwd/etc/group 保存用户和组信息,通过 /etc/shadow 保存密码口令及其变动信息, 每行一条记录。

用户和组分别用 UIDGID 表示,一个用户可以同时属于多个组,默认每个用户必属于一个与之 UID 同值同名的 GID

对于 /etc/passwd , 每条记录字段分别为 用户名:口令(在 /etc/shadow 加密保存):UID:GID(默认UID):描述注释:主目录:登录shell(第一个运行的程序)

对于 /etc/group , 每条记录字段分别为 组名:口令(一般不存在组口令):GID:组成员用户列表(逗号分割的用户UID列表)

对于 /etc/shadow ,每条记录字段分别为: 登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:

实践

以下是对用户和组信息的举例。 /etc/shadow 中的口令信息为加密存储,不举例。

$cat /etc/passwd |head -n 5
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync

$cat /etc/group |head -n 5
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:miracle

文件权限控制

文件类型

有7种类型:
普通文件(-)、目录文件 (d)、socket文件(s),管道文件(p),字符文件(c),块文件(b),链接文件(l)。其中,

普通文件, 又包括文本文件和二进制文件, 可用 touch 创建;

socket文件, 用于网络通讯,一般由应用程序在执行中间接创建;

管道文件是有名管道,而非无名管道, 可用 mkfifo 创建;

字符文件和块文件均为设备文件, 可用 mknod 创建;

链接文件是软链接文件,而非硬链接文件, 可用 ln 创建。

访问权限控制组

分为三组进行控制:

  • user 包含对文件属主设定的权限
  • group 包含对文件属组设定的权限
  • others 包含对其他者设定的权限

可设定的权限

主要(但不是全部)包括:

  • r 表示具有读权限。
  • w 表示具有写权限。
  • x 一般针对可执行文件/目录,表示具有执行/搜索权限。
  • s 一般针对可执行文件/目录,表示具有赋予文件属主权限的权限,只有 usergroup 组可以设置该权限。
  • t 一般针对目录,设置粘滞位后,有权限的用户只能写、删除自己的文件,否则可写、删除目录所有文件。旧系统还表示可执行文件运行后将text拷贝到交换区提升速度。

实践

通过 ls -l 可以查看到其文件类型及权限,通过 chmod 修改权限。

举例来说,

$ ls -l /usr/bin/qemu-i386 
-rwxr-xr-x 1 root root 2149080  8月 13  2014 /usr/bin/qemu-i386
$ chmod 1775 test/
$ ls -l |grep test
drwxrwxr-t 2 miracle video 4096  7月 20 09:31 test
$ chmod 2777 test2/
$ ls -l |grep test2
drwxrwsrwx 2 miracle video 4096  7月 20 09:32 test2
$ chmod 4777 test3/
$ ls -l |grep test3
drwsrwxrwx 2 miracle video 4096  7月 20 09:33 test3

输出中, -rwxr-xr-x 部分的第2个字符开始表示文件的权限位,共有9位。

对于文件 /usr/bin/qemu-i386 , 这个权限控制的含义是:

  1. 第1~3位的 rwx 表示该文件可被它的owner(属主)以 rwx 的权限访问。
  2. 第4~6位的 r-x 表示该文件可被与该文件同一属组的用户以 rx 的权限访问
  3. 第7~9位的 r-x 表示该文件可被其它未知用户以 rx 的权限访问。

对于 test/, test2/, test3/ 设定的权限:

  1. r,w,x 权限对每一权限控制组的权限用一位8进制来表示; 例如: 755 表示 rwxr-xr-x
  2. s,t 权限会替代 x 位置显示;设定 s,t 权限则需在对应的、用于控制 r,w,x 的8进制权限控制组前追加数字; s 权限用于属主属组控制, t 用于其它控制。
  3. 设定属主 s 需追加 4, 设定属组 s 追加 2, 设定其它者 t 权限追加 1 ; 例如前面对 test/ 设定 t, 则用 1775, 表示 rwxrwxr-t

进程权限控制

进程权限

对于进程,有如下属性与文件访问权限相关:

  • effective user id : 进程访问文件权限相关的 UID (简写为 euid )。
  • effective group id : 进程访问文件权限相关的 GID (简写为 egid )。
  • real user id : 创建该进程的用户登录系统时的 UID (简写为 ruid )。
  • real group id : 创建该进程的用户登录系统时的 GID (简写为 rgid )。
  • saved set user id : 拷贝自 euid
  • saved set group id : 拷贝自 egid

实践

我们可以使用 pstop 选择查看具有 euidruid 的进程。或者通过 top 来查看进程的 euidruid

通过 top 来查看的例子:

  1. 首先输入 top 得到类似如下

    $top -d 10.10
top - 15:50:39 up 9 days,  1:42,  9 users,  load average: 0.13, 0.16, 0.21
Tasks: 287 total,   2 running, 284 sleeping,   0 stopped,   1 zombie
Cpu(s): 20.8%us,  4.6%sy,  0.0%ni, 72.5%id,  2.1%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   7707276k total,  7574252k used,   133024k free,   154872k buffers
Swap:  1998844k total,   223744k used,  1775100k free,  3330212k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                
31603 miracle   20   0 2368m 681m  52m S    6  9.1 206:07.74 firefox                                                                                
 1507 root      20   0  451m 188m  97m S    2  2.5 193:49.86 Xorg  
....

    这里通过 -d 选项延长 top 的刷新频率便于操作。此处可见,只有 USER 字段,表示相应进程的 effective user id.

  2. 打开 read user id 的显示选项

    1. top 命令运行期间,输入 f, 可以看见类似如下行:

      c: RUSER      = Real user name

    2. 输入 c 即可打开 Real user name 的显示开关。

      * C: RUSER      = Real user name

    3. 最后 Return 回车回到 top 中,即可看到 real user id 的选项

      此时输入 o,可调整列次序

      最终我们可看到包含 effective user idreal user id 的输出如下:

      top - 15:57:58 up 9 days,  1:49,  9 users,  load average: 0.23, 0.22, 0.23
Tasks: 286 total,   1 running, 284 sleeping,   0 stopped,   1 zombie
Cpu(s):  3.9%us,  1.4%sy,  0.0%ni, 94.6%id,  0.1%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   7707276k total,  7539776k used,   167500k free,   154996k buffers
Swap:  1998844k total,   225132k used,  1773712k free,  3300036k cached

  PID USER     RUSER     PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                              
31603 miracle  miracle   20   0 2376m 688m  52m S    4  9.2 206:24.14 firefox                    
 1507 root     root      20   0  451m 188m  97m S    3  2.5 194:06.27 Xorg  
 ....

      其中, PID 是对应进程, USER 是对应的 effective user, RUSER 是对应的 real user

进程访问文件的权限控制策略

规则

进程访问文件大致权限控制策略

对于进程访问文件而言,最重要的是 euid, 所以其权限属性均以 euid 为 "中心"。

  • 进程的 euid 一般默认即为 其 ruid
  • 若可执行文件的可执行权限位为 s ,进程对其调用 exec 后,其 euid 被设置为该可执行文件的 user id
  • 进程的 saved set user id 拷贝自 euid.
  • 当进程的 euid 与文件的 user id 匹配时,进程才具有文件 user 权限位所设定的权限
  • 组权限 egid 的控制规则类似。

通过 exec 执行文件修改权限属性

通过 exec 调用可执行文件之时:

  • 进程 ruid 值始终不变;

  • saved set-user ID 始终来自 euid

  • euid 值取决于文件的 set-user-ID 位是否被设置。

如下:

|-------------------+-------------------------------+---------------------------------|
| ID                | set-user-ID bit off           | set-user-ID bit on              |
|-------------------+-------------------------------+---------------------------------|
| real user ID      | unchanged                     | unchanged                       |
|-------------------+-------------------------------+---------------------------------|
| effective user ID | unchanged                     | set from userID of program file |
|-------------------+-------------------------------+---------------------------------|
| saved set-user ID | copied from effective user ID | copied from effective user ID   |
|-------------------+-------------------------------+---------------------------------|

通过 setuid(uid) 系统调用修改权限属性

通过 setuid(uid) 修改权限属性之时:

  • superuser 可顺利修改 ruid, euid, saved set-user ID

如下:

|-------------------+------------+-------------------|
| ID                | superuser  | unprivileged user |
|-------------------+------------+-------------------|
| real user ID      | set to uid | unchanged         |
|-------------------+------------+-------------------|
| effective user ID | set to uid | set to uid        |
|-------------------+------------+-------------------|
| saved set-user ID | set to uid | unchanged         |
|-------------------+------------+-------------------|

举例

再举几个比较特别的例子:

设置了 set-user-id 

$ ls -l /usr/bin/sudo
-rwsr-xr-x 1 root root 71288  2月 28  2013 /usr/bin/sudo

如前所述,这个输出的含义是,对于 /usr/bin/sudo 文件,

  • 第1~3位的 rws 表示该文件可被它的owner(属主)以 rws 的权限访问
  • 第4~6位的 r-x 表示该文件可被与该文件同一属组的用户以 rx 的权限访问。
  • 第7~9位的 r-x 表示该文件可被其它未知用户以 rx 的权限访问。

这样设置之后,对于owner,具有读、写、执行权限,这一点没有什么不同。但是对于不属于 root 组的普通用户进程来说,却大不相同。

普通用户进程执行 sudo 命令时通过其 others 中的 x 获得执行权限,再通过 user 中的 s 使得普通用户进程临时具有了 sudo 可执行文件属主( root )的权限,即超级权限。

这也是为什么通过 sudo 命令,可以让普通用户执行许多管理员权限的命令的原因。

设置了 stick-bit 

$ ls -l / |grep tmp
drwxrwxrwt  25 root root 12288  7月 20 09:09 tmp

这样设置之后,对于 /tmp 目录,任何人都具有读、写、执行权限,这一点没有什么不同。但是对于 others 部分设置了粘滞位 t, 其功能却大不相同。

若目录没设置粘滞位,任何对目录有写权限者都则可删除其中任何文件和子目录,即使他不是相应文件的所有者,也没有读或写许可; 设置粘滞位后,用户就只能写或删除属于他的文件和子目录。

这也是为什么任何人都能向 /tmp 目录写文件、目录,却只能写和删除自己拥有的文件或目录的原因。

举一个 man 程序的应用片断,描述 set-user-idsaved set-user-id 的使用

man 程序可以用来显示在线帮助手册, man 程序可以被安装指定 set-user-ID 或者 set-group-ID 为一个指定的用户或者组。

man 程序可以读取或者覆盖某些位置的文件,这一般由一个配置文件(通常是 /etc/man.config 或者 /etc/manpath.config )或者命令行选项来进行配置。

man 程序可能会执行一些其它的命令来处理包含显示的 man 手册页的文件。

为防止处理出错, man 会从两个特权之间进行切换:运行 man 命令的用户特权,以及 man 程序的拥有者的特权。

需要抓住的主线:当只执行 man 之时,进程特权就是 man 用户的特权, 当通过 man 执行子进程(如通过 !bash 引出shell命令)时,用户切换为当前用户,执行完又切换回去。

过程如下:

  1. 假设 man 程序文件被用户 man 所拥有,并且已经被设置了它的 set-user-ID 位,当我们 exec 它的时候,我们有如下情况:

    • real user ID = 我们的用户UID
    • effective user ID = man用户UID
    • saved set-user-ID = man用户UID

  2. man 程序会访问需要的配置文件和 man 手册页。这些文件由 man 用户所拥有,但是由于 effective user IDman,文件的访问就被允许了。

  3. man 为我们运行任何命令的时候,它会调用 setuid(getuid())) (getuid() 返回的是 real user id).

    因为我们不是superuser进程,这个变化只能改变 effective user ID. 我们会有如下情况:

    • real user ID = 我们的用户UID(不会被改变)
    • effective user ID = 我们的用户UID
    • saved set-user-ID = man 的用户UID(不会被改变)

    现在 man 进程运行的时候把我们得UID作为它的 effective user ID.这也就是说,我们只能访问我们拥有自己权限的文件。也就是说,它能够代表我们安全地执行任何filter.

  4. 当filter做完了的时候, man 会调用 setuid(euid).

    这里, euidman 用户的UID.(这个ID是通过 man 调用 geteuid 来保存的)这个调用是可以的,因为 setuid 的参数和 saved set-user-ID 是相等的。(这也就是为什么我们需要saved set-user-ID).这时候我们会有如下情况:

    • real user ID = 我们的用户UID(不会被改变)
    • effective user ID = man的UID
    • saved set-user-ID = man 的用户UID(不会被改变)

  5. 由于 effective user IDman,现在 man 程序可以操作它自己的文件了。

    通过这样使用 saved set-user-ID,我们可以在进程开始和结束的时候通过程序文件的 set-user-ID 来使用额外的权限。然而,期间我们却是以我们自己的权限运行的。如果我们无法在最后切换回 saved set-user-ID,我们就可能会在我们运行的时候保留额外的权限。

下面我们来看看如果 man 启动一个 shell 的时候会发生什么:

  • 这里的 shellman 使用 forkexec 来启动的。

  • 因为这时 real user IDeffective user ID 都是我们的普通用户UID(参见step3), 所以 shell 没有其它额外的权限.

  • 启动的 shell 无法访问 mansaved set-user-ID(man) ,因为 shellsaved set-user-ID 是由 execeffective user ID 拷贝过来的。

  • 在执行 exec 的子进程( shell )中,所有的 user ID 都是我们的普通用户ID.

实际上,我们描述 man 使用 setuid 函数的方法不是特别正确,因为程序可能会 set-user-IDroot .这时候, setuid 会把所有三种uid都变成你设置的id,但是我们只需要设置 effective user ID.

MAC Detail

MAC比DAC在权限管理这一块要复杂,严格,细致得多。

MAC核心内容: 在SELinux中,进程想做任何事情前,都必须先在安全策略配置文件中赋予权限; 凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。

selinux.jpeg

下面将介绍SELinux Policy涉及的一些基本内容。