SELinux策略语言--类型强制 编写TE规则

首先给大家分享一个巨牛巨牛的人工智能教程，是我无意中发现的。教程不仅零基础，通俗易懂，而且非常风趣幽默，还时不时有内涵段子，像看小说一样，哈哈～我正在学习中，觉得太牛了，所以分享给大家！点这里可以跳转到教程

               

1. 简介

     SELinux策略语言主要描述policy.conf的相关语法，其相关部分如下图所示：

2. 类型强制概念

     SELinux策略大部分内容都是由多条类型强制规则构成的，这些规则控制被允许的使用权，大多数默认转换标志，审核，以及固定部分的检查。   

     SELinux策略大部分都是一套声明和规则一起定义的类型强制（TE：Type Enforcement）策略，一个定义良好、严格的TE策略可能包括上千个TE规则，TE规则数量的巨大并不令人惊奇，因为它们表达了所有由内核暴露出的允许对资源的访问权，这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则，如果我们仔细思考一下现代Linux操作系统中进程和资源的数量，就明白为什么在策略中有那么多的TE规则了。当我们添加由TE规则控制的审核配置和标志时，对于具有严格限制的SELinux策略，常常会见到它包含有上千条规则，在“创建和编写SELinux安全策略”中，我们将会讨论如何创建和管理这些大量的规则，本文旨在理解TE规则是如何工作的。

    TE规则的绝对数量对理解SELinux策略是一个大的挑战，但是规则本身并不复杂，它们的分类相对较少，所有的规则基本上都属于两类范畴：

     • 访问向量（AV）规则

     • 类型规则

     我们使用AV规则允许或审核两个类型之间的访问权，我们在某些情况下使用类型规则控制默认的标记决定。

     SELinux的一个重要概念是TE规则是将权限与程序的访问结合在一起，而不是结合用户。所有SELinux策略语言特性都是处理主体（正常的运行中的进程）对客体（文件、目录和套接字等）的访问权的，主要集中于程序访问控制决策，这也是SELinux的主要益处，它允许SELinux策略编写者基于程序的功能和安全属性，加上用户要完成任务需要的所有访问权做出访问决策，可以将程序限制到功能合适，权限最小化的程度，因此，即使它出了故障或被攻击破坏，但整个系统的安全并不会受到威胁。

    SELinux是不会管用户的，可以给同一个程序指定多个域类型（因此有不同的特权集），这样就允许引入角色的概念，尽管如此，访问控制的标准仍然是基于程序的域类型而不是用户的特权。焦点是程序的访问权，而不是用户的访问权。

3. 类型、属性和别名

    正如你从术语类型强制猜测的那样，类型是构成TE规则的最小单位，SELinux主要就是使用类型来确定什么访问是被允许的；属性和别名是为减轻管理和使用类型的策略特性，我们使用属性利用单个标识符来引用一组类型。通常，策略语言允许我们在TE规则中类型的适当位置使用属性，而别名允许我们为类型定义另一个名字，别名标识符和类型标识符做同等地位对待。 

3.1 类型声明

    在使用类型前，必须使用type语句明确地声明一个类型标识符，SELinux没有预定义类型，我们必须自行声明，例如：假设我们想声明一个类型（httpd_t），并打算将其作为Web服务器的域类型，而另一个类型（http_user_content_t）准备应用于用户数据文件，即Web服务器显示内容的文件，我们使用type语句进行声明，如下：   

type httpd_t; type http_user_content_t;

    声明了类型后就可以在安全上下文、TE规则和其它策略语句中使用它们了。

    类型声明的语法：

    •  type 类型名称 [alias 别名集] [,属性集];

   1) 别名集：如果指定的不止一个别名标识符，要在一对大括号中用空格将各个别名区别开来，如：alias {aliasa_t aliasb_t}。
   2) 属性集：是一个或多个预先声明的属性标识符，如果同时指定多个属性标识符，属性之间使用逗号进行分隔，如：type bin_t, file_type, exec_type;

   3) 类型声明在整个策略中，以及基础载入模块和非基础载入模块中都是有效的。但在有条件的语句中无效。

3.2 类型和属性

      可能你已经想到，一个大型的，复杂的策略可能包括上万个代表系统上不同资源的类型，例如：Fedora Core 4（FC 4）的targeted策略相对较小，但也声明了超过800个类型。由于默认的规则是拒绝所有的访问，所以任何一个访问都需要明确地被允许，这就导致了类型注定会很冗长，这时策略语言的属性特性就派上用场了。属性可以理解为：

      1) 类型的性质或属性，或二者兼得

      2) 一组类型

      在任何一种情况下，原理都是相同的。

      假设我们想让一个备份程序可以访问所有的文件，首先我们创建一个备份应用程序的域类型（backup_t），并允许它访问与任何文件关联的类型：

type backup_t; allow backup_t httpd_user_content_t : file read; allow backup_t shadow_t : file read;

     为了完成这个例子，我们编写了一个用于其他所有文件类型的规则，依赖声明的类型数量，我们需要大量的allow规则授予备份程序足够的访问权（每个类型都要一个）。另外，每次向策略中增加一个文件类型时，同时要为backup_t增加一条allow规则，这是一个单调且错误频出的过程，属性使得这种"组访问"更容易指定，通过将所有关联的文件类型定义一个属性，然后授予该属性的访问权（而不是每个类型了），于是，我们可以使用一条规则授予backup_t必需的访问权。
     使用attribute语句进行属性声明，如：

attribute file_type;

     这个语句声明一个叫做file_type的属性，类型和属性共享相同的命名空间，因此，类型和属性的名字不能雷同，假设我们将所有适当的类型都与属性file_type进行关联，然后就可以使用一条规则来指定backup_t读取这些文件，如： 

allow backup_t file_type :file read;

     在我们使用了一条规则替代了上千条allow规则，而授予的访问权却是一样的，当这个策略编译好后，这条规则会自动扩展成上千条规则，分别控制不同文件类型的访问，更重要的是，当我们给文件定义了一个新类型时，我们需要做的仅仅是将这个新类型与file_type属性进行关联，域类型backup_t将会自动获得读取访问权。

    属性声明语法：
    • attribute 属性名称;

    1) 属性和类型，别名都在同一个命名空间，因此不能与其他类型或别名重名。

    2) 属性声明在整个策略，基础载入模块和非基础载入模块中都有效，但在有条件的语句中无效。

3.3 关联类型和属性

3.3.1 在type中指定属性    

     迄今为止，我们已经讨论了如何定义类型和属性，下面将要讲述的是如何将它们关联起来，最常见的关联方式是在用type语句声明类型时就指定其属性，例如：我们可以将声明http_user_content_t类型的语句修改为：

type http_user_content_t,file_type;

     这个语句描述了声明类型http_user_content_t时，同时关联了file_type属性，它会自动向具有file_type属性的类型组中添加http_user_content_t类型，但从概念上将，它实质上已经改变了http_user_content_t类型的性质，因为它现在已经具有基于属性的访问许可了，而不只局限于类型本身了。

     一个类型可以有多个属性，例如：我们可以再为所有Web服务器要用的文件创建一个属性httpdcontent，拥有httpdcontent属性的类型可能是拥有file_type属性的类型的一个子集，下面的代码扩展了我们前面的例子：

type httpd_user_content_t, file_type, httpdcontent; type shadow_t, file_type; allow backup_t file_type : file read; allow httpd_t httpdcontent : f