Linux的SElinux可能导致的服务器异常的研究

Posted 2021-01-03 icetanker

今天先写现象：

某台服务器由于误操作启动了SELinux，导致了服务器无法登陆，原有用户名口令全部失效。再关闭SElinux后，恢复正常。

我现在的好奇在于，SElinux基于什么样的原理阻止了单用户模式下的passwd命令执行。

SELiunx原理:

通过一个在linux内核外挂的模块LSM（Linux Security Modules），在原生linux的权限管理后增加了一个钩子（hook），在原生权限检查后，通过这个钩子增加了SELinux的策略检查。通过这个被称为类型强制的机制，可以进行文件读写，目录属性，TCP连接等各类资源的管理。其中就包括系统管理的限制，能够限制passwd的可执行用户。也就是说如果需要启用SELinux，就需要一个完整的，完备的策略组。管理的过严会给日常管理带来极大不便，管理过松就失去了意义。