SELinux如何管理文件權限

SELinux管理文件權限的核心邏輯與操作指南
SELinux（Security-Enhanced Linux）通過強制訪問控制（MAC）機制，以“安全上下文”為核心，實現對文件權限的細粒度管理。與傳統Linux的“自主訪問控制（DAC，如rwx權限）”不同，SELinux不僅檢查文件屬主、用戶權限，還會驗證進程類型與文件類型的匹配性，即使root用戶也無法繞過SELinux策略訪問未授權的文件。

一、SELinux文件權限管理的核心概念

1. 安全上下文（Security Context）

安全上下文是SELinux為每個文件、進程分配的“身份標簽”，格式為：用戶:角色:類型:級別（級別可選）。其中：

• 類型（Type）：最關鍵的字段，決定進程能否訪問文件（如httpd_sys_content_t表示Web內容文件，var_t表示系統變量文件）。
• 用戶/角色：用于更細粒度的權限劃分（如system_u表示系統用戶，object_r表示對象角色）。

通過ls -Z命令可查看文件的SELinux上下文，例如：

ls -Z /var/www/html/index.html
# 輸出示例：system_u:object_r:httpd_sys_content_t:s0

2. SELinux模式

SELinux有三種運行模式，控制策略的強制執行程度：

• Enforcing（強制模式）：默認模式，違反策略的操作會被攔截并記錄到審計日志（/var/log/audit/audit.log）。
• Permissive（寬容模式）：僅記錄違規行為，不阻止操作（用于排查權限問題）。
• Disabled（禁用模式）：完全關閉SELinux（需重啟系統，不推薦）。

通過getenforce命令查看當前模式，setenforce 0/1臨時切換模式（0=Permissive，1=Enforcing）。永久修改需編輯/etc/selinux/config文件，設置SELINUX=enforcing/permissive/disabled。

二、SELinux文件權限管理的關鍵操作

1. 查看文件安全上下文

使用ls -Z命令查看文件/目錄的SELinux上下文，例如：

ls -Z /var/www/html
# 輸出示例：system_u:object_r:httpd_sys_content_t:index.html

2. 臨時修改文件安全上下文

使用chcon命令臨時更改文件的類型（重啟或restorecon后會失效），語法：

chcon -t <目標類型> <文件路徑>
# 示例：將/var/www/html/test.txt設置為httpd_sys_content_t類型
chcon -t httpd_sys_content_t /var/www/html/test.txt

3. 永久修改文件安全上下文

若需永久生效，需使用semanage fcontext定義默認規則，再用restorecon應用：

# 1. 添加默認規則（如為/custom/web目錄下的所有文件設置httpd_sys_content_t類型）
semanage fcontext -a -t httpd_sys_content_t "/custom/web(/.*)?"
# 2. 恢復目錄及子文件的默認上下文
restorecon -Rv /custom/web

注：semanage需安裝policycoreutils-python工具（yum install policycoreutils-python）。

4. 修復文件移動/復制后的上下文問題

• 復制（cp）：新文件會繼承目標目錄的默認上下文（無需額外操作）。
• 移動（mv）：保留原文件的上下文（可能導致權限異常），需用restorecon恢復：

mv /old/path/file.txt /new/path/
restorecon -v /new/path/file.txt

三、SELinux文件權限故障排查

1. 查看SELinux拒絕日志

當進程無法訪問文件時，SELinux會將違規信息記錄到/var/log/audit/audit.log。使用ausearch過濾AVC（訪問控制拒絕）日志：

ausearch -m avc -ts recent
# 示例輸出：type=AVC msg=audit(1724987654.123:456): avc: denied { read } for pid=1234 comm="httpd" name="test.txt" dev="sda1" ino=789 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=file

2. 使用audit2allow生成自定義策略

若日志顯示“denied”錯誤，可通過audit2allow工具生成自定義策略模塊，允許被攔截的操作：

# 1. 從日志提取規則并生成.te文件
audit2allow -a -M myrule
# 2. 編譯并加載策略模塊
semodule -i myrule.pp

注：自定義策略需謹慎使用，避免過度放寬權限。

四、注意事項

• 優先保持Enforcing模式：禁用SELinux會降低系統安全性，建議通過調整上下文或布爾值解決問題。
• 備份重要數據：修改SELinux策略或上下文前，備份相關文件（如/etc/selinux/config、/var/log/audit/audit.log）。
• 測試環境驗證：自定義策略需在測試環境中驗證，避免影響生產系統。