什么是SELinux，它如何增强Linux的安全性？

在保护Linux服务器时，大多数管理员会考虑基本的安全措施：保持软件包更新、配置防火墙、限制SSH访问。然而，最强大的安全机制之一往往被忽视——SELinux（安全增强Linux）。这不仅仅是一个附加组件；它是一个内核级安全框架，旨在在入侵升级之前阻止它们。对于VPS和专用服务器，SELinux可以意味着小事件和系统完全妥协之间的区别。

什么是SELinux？

SELinux是一个Linux内核安全模块，强制执行强制访问控制（MAC）。

• 在传统的DAC（自主访问控制）模型下，访问权限由文件所有者决定，root拥有无限制的权限。
• 在MAC（SELinux）下，访问权限由系统范围的安全策略决定。即使是root也受到限制。

SELinux最初由NSA与Red Hat合作开发，在2000年代初期集成到Linux内核中，现在在RHEL、CentOS、Fedora、AlmaLinux和Rocky Linux等企业发行版中是标准配置。

问题：传统Linux安全的不足之处

经典的UNIX权限模型（DAC）存在关键弱点：

• root是全能的。任何升级到root的漏洞都会危及整个系统。
• 服务妥协=系统妥协。被攻击的Apache模块或PHP脚本可以访问敏感数据。
• 现代攻击向量绕过DAC。Web-shell、特权升级漏洞和容器逃逸很常见。

现实场景：
一个CMS上传漏洞允许攻击者放置一个web-shell。没有SELinux，攻击者可以读取config.php，提取数据库凭据，并妥协整个堆栈。使用SELinux时，Web服务器进程（httpd_t）受到限制，无法访问其指定域之外的文件。

SELinux是如何工作的

每个进程、文件、端口和套接字都有一个安全上下文（标签）。
策略定义了哪些上下文可以相互交互。

示例：

• Apache在httpd_t域中运行。
• 网站文件被标记为httpd_sys_content_t。
• 策略允许httpd_t仅读取httpd_sys_content_t文件。

如果Apache尝试读取/etc/shadow（shadow_t），内核将拒绝该请求并记录违规行为。

操作模式

• 强制：强制执行策略，阻止违规。
• 宽容：记录违规但不阻止（适合测试）。
• 禁用：SELinux关闭（不推荐）。

最佳实践：从宽容模式开始，查看日志，微调策略，然后在生产环境中切换到强制模式。

为什么SELinux对托管和DevOps很重要

• 进程隔离：当单个服务被妥协时限制损害。
• 最小权限强制：即使是root也无法绕过政策限制。
• 取证和可见性：所有被拒绝的操作都会被记录（/var/log/audit/audit.log）。
• 容器安全：防止Docker/Podman容器逃逸其边界。
• 合规性：在受监管的环境中是必需的（PCI DSS、HIPAA、军用级部署）。

策略类型

• 目标（默认）：仅限制网络服务（Apache、Nginx、Postfix、Dovecot）。
• 严格：将MAC应用于所有进程。
• MLS/MCS：用于多级或政府级安全的高级策略。

对于大多数VPS和专用服务器工作负载，目标策略是可用性和保护之间的最佳平衡。

实际示例

检查SELinux状态

移动Web文件后恢复文件上下文

列出文件安全标签

允许Web服务的出站连接（例如，API调用）

查看日志中的拒绝操作