7.3.1 基本定义1.客体类别和操作这部分策略是内核代码逻辑的重复。按照机制和策略分离的原则内核代码实现机制用户编写策略。但是 SELinux 策略语言中偏偏有一部分是在重复内核代码的逻辑。这部分重新定义了客体类别和操作有些不伦不类因为用户不可能多定义或少定义一个客体类别也不可能修改客体之上的操作。语法是class class_id [ inherits common_set ] [ { perm_set } ] 举例 class unix_stream_socket inherits socket { connectto newconn acceptfrom }上述语句表示客体类 unix_stream_socket 自通用操作集合 socket 中继承了全部操作并且自己有 3 个额外的操作 connectto、 newconn、 acceptfrom。下面再给出通用操作集合的语法common common_id { perm_set } 举例 common socket { # inherited from file ioctl read write create getattr setattr lock relabelfrom relabelto append # socket-specific bind connect listen accept getopt setopt shutdown recvfrom sendto recv_msg send_msg name_bind }上述语句中的注释表明套接字操作的前半部分和文件相同后半部分是套接字上特有的操作。2. SELinux 用户SELinux 用户是 SELinux 安全上下文四元组中的第一个成员。 SELinux 的机制是先将 Linux用户映射为 SELinux 用户再将 SELinux 用户映射为 SELinux 角色。语法user seuser_id roles role_id;举例user sysadm_u roles { sysadm_r };SElinux 用户“sysadm_u”可以映射为 SElinux 角色“sysadm_r”。3.角色SELinux 安全上下文四元组的第二个成员是角色。 SELinux 机制会将 SELinux 角色映射为SELinux 类型。语法:role role_id;或者定义角色的同时给出关联的类型role role_id types type_id;举例role system_r;role sysadm_r;role user_r;role user_r types user_t;role user_r types chfn_t;上述语句定义了 3 个角色 system_r、 sysadm_r、 user_r。其中 user_r 可映射为类型 user_t和 chfn_t。一个一个地定义角色有些麻烦可以定义一个共同的角色属性将角色关联到角色属性在后续需要角色的策略中使用角色属性就可以了。语法attribute_role attribute_id;有了角色属性就可以将以前定义的角色关联到角色属性上。roleattribute role_id attribute_id [ ,attribute_id ];举例attribute_role admin;attribute_role net;role net_admin;role sys_admin;role common_user;roleattribute net_admin admin, net;roleattribute sys_admin admin;上述语句定义了 3 个角色网络管理员、系统管理员、普通用户 2 个角色属性管理和网络。将网络管理员关联到管理和网络系统管理员关联到管理。4.类型SELinux 安全上下文四元组中的第三个成员是类型。类型相关的定义有 type、 attribute、typeattribute、 typealias。1 type在类型上有类型名字类型属性可能还有类型别名。语法type type_id;或者type type_id, attribute_id;或者type type_id alias alias_id;或者type type_id alias alias_id, attribute_id;举例type bin_t;type bin_t alias { usr_bin sbin };attribute exec_t;type bin_t, exec_t;attribute can_relabelto;type setf_t alias restorecon_t, can_relabelto;attribute packet_t;attribute serv_packet_t;type ssh_serv_packet_t, packet_t, serv_packet_t;上述语句定义了一个类型“bin_t”再为它关联两个别名“usr_bin”和“sbin”再定义一个属性“exec_t”关联到“bin_t”。定义属性“can_relabelto”在定义类型“setf_t”的时候关联上别名“restorecon_t”和属性“can_relabelto”。最后在定义类型“ssh_serv_packet_t”时赋予类型多个属性 “packet_t”和“serv_packet_t”。2 attribute语法attribute attribute_id;attribute 就是“类型的类型”。3 typeattribute语法typeattribute type_id attribute_id [ ,attribute_id ];typeattribute 的作用是为一个以前定义的类型关联属性。举例type daemon_t;attribute domain;typeattribute daemon_t domain;上述语句定义了一个类型“daemon_t”和一个属性“domain”然后将它们关联起来。4 typealias语法typealias type_id alias alias_id;typealias 的作用是定义一个类型的别名。5.多级安全多级安全包含两个元素敏感度sensitivity和组别(category)。1 sensitivity语法sensitivity identifier;或者sensitivity sens_id alias alias_id [ alias_id ];举例sensitivity s0 alias common no_secret;sensitivity s1 alias secret;sensitivity s2;上述语句定义了 3 个级别 s0、 s1、 s2。 s0 的别名是 common普通和 no_secret无秘密 s1 的别名是 secret秘密 s2 无别名。2 dominancedominance 用于定义级别之间的“高低”关系。语法dominance { sens_id ... };举例dominance { s0 s1 s2 };s0 级别最低 s2 级别最高。3 category语法category cat_id;或者category cat_id alias alias_id;举例category c0;category c1;category c0 alias planning r_d;category c1 alias business;上述语句定义了两个组别 c0 和 c1 c0 的别名是 planning规划部和 r_d 研发部c1 的别名是 business市场部。4 level级别level定义将前面的敏感度sensitivity和组别category组合起来。多级安全Multi-Level Security中的级别就是下面要介绍的级别。语法level sens_id [ :category_id ];其中 category_id 可以是用“.”连接的两个组如 c0.c16表示一个闭合集合也可以是用“ ,”连接的两个 category如 c21,c36表示不连续的列表还可以将这两种情况组合如c0.c16,c21,c36,c45。举例level s0:c0.c1;level s1:c0.c1;level s2:c0.c2;上述语句表示敏感度 s0 和组别 c0、 c1 关联敏感度 s1 和组别 c0、 c1 关联敏感度 s2 和组别 c0、 c1、 c2 关联。7.3.2 安全上下文定义SELinux 的机制要求系统中所有的主体和客体都关联安全上下文。系统中的主体和客体可以分为两类一类是静态的能跨越系统重新启动而保持一致比如磁盘上的文件另一类是动态的每次启动后创建比如进程。对于前者 SELinux 将安全上下文存储在存储介质——文件的扩展属性中。对于后者 SELinux 定义初始/缺省安全上下文作为主体或客体的安全上下文的初始值。1.初始安全上下文SELinux 在策略语言中引入了 sid。安全上下文是一个字符串在内核 SELinux 代码中被存储在一个表里为了提高代码执行效率就用表中记录的序号来代表一个安全上下文。这个记录序号就是 sid。SELinux 代码在那个存储安全上下文的表中预留了若干项这些项就是某些主体和客体的初始/缺省安全上下文。目前 SELinux 预留了 27 项初始安全上下文。在代码中它们的名字是kernel security unlabeled fs file file_labels init any_socket port netif netmsg node igmp_packet icmp_socket tcp_socket sysctl_modprobe sysctl sysctl_fs sysctl_kernel sysctl_net sysctl_net_unix sysctl_vm sysctl_dev kmod policy scmp_packet devnull 回到策略语言 sid 策略有两种格式带安全上下文的和不带安全上下文的。 语法 sid sid_id sid sid_id context 举例 sid kernel sid kernel u:r:kernel:s0sid 为 kernel 的安全上下文内容为“u:r:kernel:s0”。不带安全上下文的 sid 定义实际上又是在重复代码的逻辑27 个初始/缺省安全上下文不能多也不能少。带 context 的 sid 定义有些意义就是能给出这些预留 sid 对应的安全上下文也就是填充内核那个安全上下文表中预留记录的内容。2.文件这部分策略规定了一个文件系统上的文件的安全上下文来自哪里共有四个来源扩展属性、主体进程、主体和文件系统运算、策略规定值。需要注意的是这里的文件的范畴比一般意义要大还包括管道和套接字。因为在内核的代码逻辑中管道是在特殊的文件系统 pipefs 上的文件而套接字也有一个特殊的文件系统sockfs 与之关联。1fs_use_xattr语法fs_use_xattr fs_name fs_context;这种策略有两个作用一是规定文件系统上的文件使用扩展属性作为文件的安全上下文二是规定文件系统本身的安全上下文。举例fs_use_xattr encfs system_u:object_r:fs_t; fs_use_xattr ext2 system_u:object_r:fs_t; fs_use_xattr ext3 system_u:object_r:fs_t;上述语句规定 encfs、ext2、ext3 文件系统的安全上下文是“system_u:object_r:fs_t”其上的文件使用扩展属性 security.selinux 的值作为安全上下文。2fs_use_task语法fs_use_task fs_name fs_context;这种策略有两个作用一是规定文件系统㊀使用创建文件的进程的安全上下文作为其上的文件的安全上下文二是规定了文件系统本身的安全上下文。举例fs_use_task eventpollfs system_u:object_r:fs_t; fs_use_task pipefs system_u:object_r:fs_t; fs_use_task sockfs system_u:object_r:fs_t;上述语句规定 eventpollfs、pipefs、sockfs 文件系统的安全上下文是“system_u:object_r:fs_t”其上的文件的安全上下文来自创建进程的安全上下文。3fs_use_trans㊀ 这里的文件系统与我们日常使用的文件系统有一点儿差别多出了一些只在内核内部使用的文件系统比如 sockfs。在/proc/filesystems 中列出了内核支持的全部文件系统。fs_use_trans 与 fs_use_task 类似 区别在于文件的安全上下文不单单来自创建文件的进程的安全上下文还有一个影响因素是文件系统本身的安全上下文最终结果是二者的运算结果。fs_use_trans fs_name fs_context;举例fs_use_trans devpts system_u:object_r:devpts_t;上述语句规定 devpts 文件系统的安全上下文是 system_u:object_r:devpts_t 其上文件的安全上下文来自创建进程的安全上下文和文件系统安全上下文的运算。下面列出和运算相关的语句type rssh_devpts_t, fs_type;type_transition rssh_t devpts_t:chr_file rssh_devpts_t;上述语句规定类型为 rssh_t 的进程在其上创建的字符设备文件的安全上下文的类型为rssh_devpts_t。4 genfscon当上面这些策略都不能用时还有最后这个 genfscon。genfscon fs_name partial_path fs_context文件系统和其上的所有文件都使用同样的安全上下文这里有一个特例如果 fs_name 是proc 的话 partial_path 起作用其上部分文件可以有不同的安全上下文。举例genfscon msdos / system_u:object_r:dosfs_t genfscon iso9660 / system_u:object_r:iso9660_t genfscon proc / system_u:object_r:proc_t genfscon proc /sysvipc system_u:object_r:sysvipc_proc_t上述语句说明 msdos 文件系统及其上所有文件的安全上下文是 system_u:object_r:dosfs_t。iso9660 文件系统及其上所有文件的安全上下文是 system_u:object_r:iso9660_t。 proc 文件系统本身的安全上下文是 system_u:object_r:proc_t proc 文件系统中的 sysvipc 目录和 sysvipc 目录之下的文件和目录的安全上下文是 system_u:object_r:sysvipc_proc_t proc 文件系统中其余的文件和目录的安全上下文是 system_u:object_r:proc_t。