Linux服务访问控制核心是默认拒绝、按需放行;需结合CapabilityBoundingSet/NoNewPrivileges、连接级白名单、SELinux类型强制、精确socket绑定实现最小权限。
Linux 服务访问控制策略的核心不是“怎么加权限”,而是“默认拒绝、按需放行”。最小权限设计不是安全锦上添花的选项,而是服务一旦暴露在非可信网络中就必须落地的基本前提。
很多服务(如 nginx、redis)默认以 root 启动后降权,但降权不等于权限收敛。若未显式限制 capabilities,进程仍可能通过 cap_sys_admin 等能力绕过文件权限或挂载命名空间。
CapabilityBoundingSet=CAP_NET_BIND_SERVICE —— 仅允许绑定 1024 以下端口,禁止其他系统级操作NoNewPrivileges=true —— 阻止 fork+exec 提权(例如调用 setuid 二进制或加载特权模块)Capabilities=...(它赋予权限),优先用 CapabilityBoundingSet(它削减权限)User=www-data 和 RestrictSUIDSGID=true,可封堵 setuid 二进制滥用路径用 iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT 是典型误区:它没限制源端口、连接状态、甚至没拒绝其他端口。真正最小权限应基于连接上下文过滤。
-m state --state ESTABLISHED,RELATED -j ACCEPT
--sport 32768:65535)-p icmp --icmp-type redirect -j DROP、-m pkttype --pkt-type multicast -j DROP
nft add rule inet filter input tcp dport 80 ct state established,related accept
即使用户、capability、网络都收紧,一个被攻陷的 httpd_t 域仍可能通过共享内存或 UNIX socket 访问同主机上的 mysqld_t。SELinux 的 type enforcement 才是跨服务隔离的最后一道防线。
ps -eZ | grep httpd 应显示 system_u:system_r:httpd_t:s0,而非 unconfined_t
semanage permissive -a httpd_t 仅用于调试,上线必须移除setsebool -P httpd_can_network_connect_db off,而非全局开 httpd_can_network_connect on
audit2allow -a -M myapp 生成最小规则,避免直接 audit2allow -a -M myapp -i(它会包含冗余权限)用 systemd-socket-activate 启动服务看似优雅,但若 socket unit 中 ListenStream=0.0.0.0:80,服务进程实际继承的是全网卡监听能力——哪怕 service unit 里写了 BindTo=lo 也无效。
ListenStream=127.0.0.1:808
0 或 
0[::1]:8080
FreeBind=true(它允许绑定未配置的 IP),除非明确需要 VIP 切换ListenStream=/run/myapp.sock + SocketMode=0600 + SocketUser=appuser
ss -tlnp | grep :80,确认 Local Address:Port 列不是 *:80
最小权限不是配置项堆砌,而是每次添加一条规则、开启一个 capability、暴露一个端口时,都得反问:这个权限此刻是否被当前任务严格必需?是否能被更窄的上下文(比如特定 socket、特定 SELinux 类型、特定 netfilter 连接状态)替代?漏掉任意一环,攻击面就可能从单个服务横向撕开整台主机。
# mysql
# 堆
# input
# ssh
# 绑定
# 而非
# 按需
# 的是
# 访问控制
# 才是
# 写了
# 自定义
# 锦上添花
# 继承
# Filter
# linux
# redis
# nginx
# app
# 端口
# unix
# 路由
# stream
# 跨域
# 黑名单
# red
# 命名空间
# 都得
