接前一篇文章:SELinux零知识学习十三、SELinux策略语言之客体类别和许可(7)
(2)文件客体类别许可
文件客体类别有三类许可:直接映像到标准Linux访问控制许可的许可、标准Linux许可的扩展和SELinux特定的许可。下表列出了与文件有关的客体类别许可(即file客体类别许可):
| 许可 | 描述 |
| append | 附加到文件内容(即用O_APPEND标记打开) |
| create | 创建一个新文件 |
| entrypoint* | 通过域转换,可以用作新域的入口点的文件 |
| execmod* | 使被修改过的文件可执行(含有写时复制的意思) |
| execute | 执行,与标准Linux下的x访问权限一致 |
| execute_no_trans* | 在访问者域转换的执行文件(即没有域转换) |
| getattr | 获取文件的属性,如访问模式(例如:stat、部分ioctls) |
| ioctl | ioctl(2)系统调用请求 |
| link | 创建一个硬链接 |
| lock | 设置和清除文件锁 |
| mounton | 用作挂载点 |
| quotaon | 允许文件用作一个限额数据库 |
| read | 读取文件内容,对应标准Linux下的r访问权 |
| relabelfrom | 从现有类型改变安全上下文 |
| relabelto | 改变新类型的安全上下文 |
| rename | 重命名一个硬链接 |
| setattr | 改变文件的属性,如访问模式(例如:chmod、部分ioctls) |
| swapon | 不赞成使用。其用于将文件当作换页/交换空间 |
| unlink | 移除硬链接(删除) |
| write | 写入文件内容,对应标准Linux下的w访问权 |
1)标准Linux许可
许可read、write和execute基本上与标准Linux许可的读(r)、写(w)和执行(x)类似,丹玉标准许可检查有些不同,在标准Linux中,访问权通常是在文件打开时进行检查,而在SELinux中,访问权是每次使用时都会检查。
read许可包括了读取整个文件的能力,它包括以一种随机方式访问文件的许可。write许可包括了写入(及附加)文件的许可。与read许可相似,write许可包括了随机访问写。当一个文件被映像到内存中时,也会检查read和write许可。例如:mmap(2)系统调用,或使用mprotect(2)系统调用保护现有映像被改变。
execute许可使用execve(2)系统调用控制执行文件的能力,不管有没有域转换(参考后文的exec_no_trans),它都是必需的,execute许可在成功使用一个文件作为共享库时也是必需的。
2)标准Linux访问控制的扩展
SELinux的一个好处就是它提供了额外的许可,可以更细粒度地进行控制。
在标准Linux中,创建文件的能力受到写入容纳该文件的目录的权限限制,在SELinux中,create许可直接控制创建每个特定SELinux类型文件的能力。使用create许可,可以允许一个域类型创建etc_t类型的文件,而不是shadow_t类型。与SELinux中的大多数许可类似,文件create许可是必需的,但并不充分。例如:创建域类型也必须要有权在dir客体中创建客体,并且要有创建file客体的许可,也可能需要write许可。
查看和修改文件属性(包括许可模式和属主信息)的能力,分别由getattr和setattr许可控制。getattr许可控制文件属性的读取(如使用stat(2)系统调用),setattr许可控制文件属性的写入(如使用chmod(2)系统调用)。
可以通过flock(2)或fcntl(2)系统调用锁定文件,由lock许可进行控制,获取一个锁不再需要其它许可。尽管实际上你需要有read、write或append许可获得文件描述符传递给有关的锁定系统调用。
通常,只允许对文件进行附加(append)访问非常有用,如:日志文件不能被覆盖,这样可以阻止攻击者清除证据。SELinux单独提供了append许可,其在文件打开时强制实施了o_append模式,允许域类型append许可而无write意味着那个域类型进程只能将数据追加到文件。
由于创建是单独用create许可进行控制的,创建和移除硬链接是用link和unlink许可控制的。在Linux中,文件是可以被引用为一个或多个名字的,这就叫做硬链接。硬链接不是文件的“真实”名字,一个文件的所有硬链接都只有一个等效的有效名,Linux文件系统的这种语义包含了多种安全含义,解除一个文件的硬链接本质上是删除一个文件(注意不是删除真正的文件,而是硬链接的名字而已)。
通用,硬链接一个文件本质上是对该文件创建了一个新的名字而已,可以使用系统调用rename(2)改变硬链接的名字,这个系统调用是由rename许可进行控制的,所以三种与硬链接有关的许可在有影响的目录上都需要额外的许可才能成功完成。
最后的文件扩展许可是mounton、quotaon和swapon。mounton许可控制使用文件作为一个挂载点的能力(mount(2)系统调用),更常见的是使用目录作为一个挂载点。然而,在执行绑定挂载(MS_BIND)时,可以使用文件作为挂载点。quotaon许可控制存储限额信息,当使用quotactl(2)系统调用(q_quotaon)开启限额时,存储限额信息的文件路径就确定了,调用进程域类型必须要有那个文件的quotaon许可,才能成功完成系统调用。
3)SELinux特定许可
对于文件而言,有五种SELinux特定许可:relabelfrom、relabelto、execute_no_trans、entrypoint和execmod。
relabelfrom和relabelto许可控制域类型将文件从一个类型改为另一个类型的能力。为了使重新标记文件成功,域类型必须要有该文件客体当前类型的relabelfrom许可,并且还要有新类型的relabelto许可。注意这些许可不允许控制确切的许可对,域可以将它具有relabelfrom许可的任何类型改为它具有relabelto许可的类型。在重新标记时可以增加约束,重新标记客体对于系统而言是一个潜在的安全危险,应该严加控制。
execute_no_trans许可允许域执行一个无域转换的文件,这个许可还不够执行一个文件,还需要execcute许可。没有execute_no_trans许可,进程可能只能在一个域内执行。如果我们想要确保一个执行过程总是会引发一个域转换(或失败)时,此时就会想要排除execute_no_trans许可。例如:当登录进程为一个用户登录执行一个shell时,我们总是想要shell进程从有特权的登录域类型转移出来。
entrypoint许可控制使用可执行文件允许域转换的能力。
execute、execute_no_trans和entrypoint许可允许精确控制什么代码可以执行什么域类型。SELinux控制各个程序域类型的能力是它能够提供强壮灵活的安全的主要原因。
execmod许可控制执行在进程内存中已经修改了的内存映像文件的能力,这在防止共享库被另一个进程修改时非常有用,没有这个许可,如果一个内存映像文件在内存中已经被修改了,进程就不能再执行这个文件了。