强制模式下的SElinux会导致文件访问延迟吗？

Question

我在Amazon上启用了SElinux的强制模式，并且看到文件访问(读/写/更新)所需的时间平均增加了2-4秒。源进程是Salt，文件访问与file.managed状态https://docs.saltstack.com/en/latest/ref/states/all/salt.states.file.html#salt.states.file.managed有关，audit.log文件中没有相应的拒绝。作为一种强力的方法，我们尝试使用audit2allow为日志中的所有拒绝添加允许规则，但无法提高访问文件所需的时间。

SElinux是否已知会在文件系统访问中造成性能问题？linux系统中是否存在影响文件访问时间的已知进程？

Answer 1

SELinux经常在比您的系统执行更多IOPS的系统上执行。而且，IOs经常占用多秒时间，无论存储系统还是额外开销，性能都非常差。

其他的事情正在发生。使用Linux丰富的性能工具来揭示它。一些开始的想法：

• 度量主机上所有性能资源的利用率。CPU、磁盘带宽、磁盘IOPS、内存等等。
• 当这个东西慢的时候，获取一个CPU上的火焰图。
• 在代码的问题行上使用特定于编程语言的分析器。在这种情况下，salt的文件函数。
• 获取块IO延迟分布，例如使用biolatency。
• 使用fio或touch等工具在此存储系统上对原始IOs进行基准测试

(其中一些需要最近用于bpf和其他特性的内核。我不知道Amazon的工具对所有这些都有多好。)

Answer 2

简短的回答:是的，它会增加延迟，但是它太小了，你通常都不在乎。

长答案: SELinux增加了一些延迟，因为：

• 其标签存储在扩展属性中，该属性是附加到每个文件的附加元数据标记(要读取/分析)；
• 它必须将公正读取的元数据与当前加载的二进制策略进行比较。

为了最小化性能影响，linux内核保留一个AVC缓存，以绕过读取/比较过程中最繁重的步骤。更多信息可以找到这里和这里。

需要注意的是，在一般情况下，SELinux只会影响0-2%的性能，并且可以从性能的角度加以忽略。