CentOS7安全模式深度解析：从原理到生产环境实践-编程实验室

CentOS7 安全模式深度解析：从原理到生产环境实践

摘要：SELinux 在 CentOS7 默认开启，却常被“一键禁用”。本文用一次真实救火经历做引子，把 DAC 的短板、MAC 的底气、策略写法、性能调优、排坑套路一次性讲透，并给出可落地的模板与脚本，助你把“安全模式”从负担变成护城河。

1. 背景痛点：DAC 权限模型的“天花板”

去年双十一前夜，公司电商后台被上传了一个gif_shell.php。文件权限 644，属主 apache，目录 755，完全符合传统 Unix 规则，但 Web 服务器依旧乖乖执行了它——DAC（Discretionary Access Control）只看“用户-组-其他”三元组，管不了“进程能不能访问文件内容”。

CentOS7 默认仍沿用 DAC，导致三大硬伤：

进程≈用户：httpd 进程一旦沦陷，立刻拥有 apache 用户全部权限。
目录穿越：软链、/tmp、/var/tmp 共用同一策略，横向移动成本低。
权限继承：子进程自动继承父进程权限，提权链路过长。

SELinux 作为强制访问控制（MAC）代表，正是为补齐这块短板而生；可“开不起来”“配完重启就失联”的吐槽声不绝于耳。下面把踩过的坑、测过的数据、留着的脚本一并奉上。

2. 技术对比：SELinux vs AppArmor

维度	SELinux（CentOS7 默认）	AppArmor（SUSE/Ubuntu 可选）
控制粒度	基于标签（label）+类型强制（TE），可到端口、文件系统属性	基于路径，规则写进 profile
安全模型	TE + MLS（Multi-Level Security）可选	纯路径白名单
策略语言	CIL、policy 模块（.te/.fc/.if）	类 shell 语法，易读
性能开销	上下文缓存 + AVC，平均 < 3%（实测 8C16G 场景）	路径匹配，单次访问略快，但规则膨胀后线性下降
学习曲线	陡峭，工具链丰富（audit2allow/sealert）	平缓，但复杂业务需大量手动条目
生产成熟度	RHEL/CentOS 全链路支持，容器、K8s 官方推荐	桌面/小型服务友好，企业级场景社区维护

结论：需要多租户、多服务混布、合规审计——选 SELinux；需要快速上线、路径变动频繁——AppArmor 更轻量。

3. 核心配置：十分钟把策略跑起来

3.1 全局开关与模式

/etc/selinux/config 关键参数解读：

# /etc/selinux/config SELINUX=enforcing # 强制模式；调试可设 permissive SELINUXTYPE=targeted # 仅对网络服务做 MAC，桌面进程默认 unconfined

注意：从disabled改成enforcing必须重启，因为内核要重新打标签；而permissive→enforcing可在线切换（setenforce 1）。

3.2 安全上下文三板斧

ls -Z看标签
chcon -t httpd_sys_content_t /var/www/html/index.html临时改
semanage fcontext -a -t httpd_sys_content_t "/custom/www(/.*)?"; restorecon -Rv /custom/www永久生效

示例：把 nginx 默认目录挪到/data/www

# 1. 声明新路径规则 semanage fcontext -a -t httpd_sys_content_t "/data/www(/.*)?" # 2. 重写本地文件系统标签 restorecon -Rv /data/www # 3. 若 nginx 是非标准端口 8888 semanage port -a -t http_port_t -p tcp 8888

3.3 自定义 policy 模块（最小可运行版）

需求：让/usr/local/bin/pushlog脚本只能追加/var/log/push.log，且不能被 httpd 访问。

文件：pushlog.te

policy_module(pushlog, 1.0.0) require { type unconfined_t; type var_log_t; class file { read write append }; } type pushlog_exec_t; type pushlog_log_t; # 域转换 domain_type(pushlog_t) domain_entry_file(pushlog_t, pushlog_exec_t) # 允许 pushlog 域写日志 allow pushlog_t pushlog_log_t:file { read write append }; # 禁止其他域访问 dontaudit httpd_t pushlog_log_t:file read;

编译 & 加载：

checkmodule -M -m -o pushlog.mod pushlog.te semodule_package -o pushlog.pp -m pushlog.mod semodule -i pushlog.pp

4. 性能调优：别让安全拖垮高并发

4.1 AVC 缓存机制

内核维护 Access Vector Cache（AVC），命中时开销≈0；未命中需遍历策略树，实测 QPS 下降 8%。调优思路：

提高命中率：减少布尔值频繁切换，合并相似规则。
调大哈希桶：内核参数echo 512 > /sys/fs/selinux/avc/cache_threshold，对 16C 以上机器收益明显。

4.2 服务级优化清单

服务	典型瓶颈	优化动作
nginx	sendfile 与 mmap 被 deny	`setsebool -P httpd_use_sendfile 1`
MySQL 8	自定义 datadir=/data/mysql	`semanage fcontext -a -t mysqld_db_t "/data/mysql(/.*)?"`
Redis 6	非标准端口 6380	`semanage port -a -t redis_port_t -p tcp 6380`
php-fpm	写 session 到 /tmp	改用 /var/lib/php/session；或加规则`allow php-fpm_t tmp_t:file write`

经验：布尔值开关优先，自定义策略其次；前者升级可继承，后者需重编译。

5. 避坑指南：生产环境血泪史

5.1 策略冲突排障四步法

ausearch -m avc -ts recent抓现场
sealert -a /var/log/audit/audit.log给建议
audit2allow -M local生成模块，review 后再灌
若仍冲突，临时 permissive 域：semanage permissive -a httpd_t

5.2 禁用 SELinux 的风险评估

合规：等保 2.0 三级以上要求 MAC，禁用直接失分。
容器：PodSecurityPolicy 默认读取 SELinux label，禁用后需改 kubelet 参数。
回溯：一旦关闭，所有文件上下文会被内核丢弃，重新开启需全量 relabel，重启时间×2。

结论：除非软件闭源且厂商不支持，否则“setenforce 0”只能用于排障，不能写进开机脚本。

6. 实践环节：把 httpd 关进“最小权限”笼子

6.1 审计脚本（Python3）

#!/usr/bin/env python3 """ selinux_audit.py 每日 AVC 报告邮件 依赖: ausearch, mailx """ import subprocess, datetime, smtplib from email.mime.text import MIMEText def get_avc(): yesterday = (datetime.date.today() - datetime.timedelta(days=1)).strftime("%Y-%m-%d") cmd = f"ausearch -m avc -ts {yesterday} 00:00:00 -te {yesterday} 23:59:59" return subprocess.check_output(cmd, shell=True, text=True) def mail_report(body): msg = MIMEText(body) msg["Subject"] = f"SELinux AVC Report {datetime.date.today()}" msg["From"] = "selinux@ops.local" msg["To"] = "admin@ops.local" s = smtplib.SMTP("localhost") s.send_message(msg) s.quit() if __name__ == "__main__": log = get_avc() mail_report(log if log else "No AVC denied yesterday.")

cron 每日 08:00 跑，AVC 一目了然。