SELINUX

于 2024-11-16 13:10:57 发布
阅读量824 收藏 12
点赞数 24
文章标签: linux 运维 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83342251/article/details/143809578
版权

一、工作原理

SELinux是通过MAC (强制访问控制) 的方式来控制管理进程,它控制的主体是进程,而目标则是该进程能否读取的文件资源。

主体( subject ):就是进程
目标( object ):被主体访问的资源,可以是文件、目录、端口等。
策略( policy ):由于进程与文件数量庞大,因此 SELinux 会依据某些服务来制定基本的访问安全策略。
这些策略内还会有详细的规则( rule )来指定不同的服务开放某些资源的访问与否。目前主要的策略有:
targeted :针对网络服务限制较多,针对本机限制较少,是默认的策略;
strict :完整的 SELinux 限制,限制方面较为严格。
安全上下文 security context ):对文件的访问限制,确保文件资源只能被所属的服务器访问。
最终文件的成功访问还是与文件系统的 rwx 权限设置有关 。
格式:  user : role : type  [ :level ]
查看上下文
[root@server ~]# ls -Z
    system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
[root@server ~]# ll -Z
总用量 4
-rw-------. 1 root root system_u:object_r:admin_home_t:s0     994 11月  2 17:32 anaconda-ks.cfg

分析 system_u:object_r:admin_home_t:s0 用冒号分为四个字段:
身份标识( Identify ):相当于账号方面的身份标识,主要有以下三种常见的类型:
root :表示 root 的账号身份;
system_u :表示程序方面的标识,通常就是进程;
unconfined_u :代表的是一般用户账号相关的身份。
角色( role :通过角色字段,可知道这个数据是属于程序、文件资源还是代表用户。一般角色
有:
object_r :代表的是文件或目录等文件资源;
system_r :代表的是进程。
类型( type :在默认的 targeted 策略中, Identify role 字段基本上是不重要的,重要的在于这个类型字段。而类型字段在文件与进程的定义不太相同,分别是:
type :在文件资源上面称为类型。
domain :在主体程序中则称为域。
domain 需要与 type 搭配,则该程序才能够顺利读取文件资源。
灵敏度:一般用 s0 s1 s2 来命名,数字代表灵敏度的分级。数值越大、灵敏度越高。

二、selinux的配置

 1.三种配置模式

enforcing :强制模式,启用 SELinux ,将拦截服务的不合法请求
permissive :宽容模式,启用 SELinux ,遇到服务越权访问时,只发出警告而不强制拦截
disabled :关闭模式, SELinux 没有运行

原理图: 

三种模式的切换:

 

临时关闭 

[root@server ~]# setenforce 0 # 临时关闭selinux,转为宽容模式,重启系统失效

[root@server ~] # getenforce
Permissive
[root@server ~] # setenforce 1 # 临时开启 selinux ,转为强制模式,重启失效
[root@server ~] # getenforce
Enforcing
永久关闭
[root@server ~] # vim /etc/selinux/config
SELINUX = disabled
[root@server ~] # reboot

注意:

enforcing与permissive之间切换时,需要重启系统
enforcing、permissive与disabled之间切换时,必须重启系统才会生效

 2.修改安全上下文

chcon命令

方法一:

chcon [-R] [-t type] [-u user] [-r role] 文件名
-R :递归修改,当前目录及目录下的所有文件都同时设置
-t 后面接安全上下文件的类型字段(重要)
-u :后面接身份标识
-r :后面接角色
-v :显示变动结果
方法二:
chcon -R --reference = 范例文件 文件名
restorecon命令
让文件的 SELinux 类型恢复为默认的 SELinux 类型
默认的 SELinux 类型与 semanage 命令有关,其参考 semanage 命令所查询的默认 SELinux 类型
restorecon [-Rv] 文件或目录
-R :连同子目录一起修改;
-v :将过程显示到屏幕上

 

 semanage命令

用于管理 SELinux 的策略 ,查询/修改/增加/删除文件的默认SELinux安全上下文 , 管理网络端口、消息接口等
格式:
semanage 选项 参数 文件
选项: login|user|port|interface|==fcontext==|translation|boolean ,注意: fcontext
查询默认安全上下文 ( 重要 )
-l : 查询
-a : 添加
-m : 修改
-d : 删除
-D : 全部删除
-t : 类型
-r : 角色
-s : 用户
-f : 文件
添加8888端口为服务端口:

3.综合实验 

(1)enforing模式下,nginx修改资源目录,并实现页面正常访问

 客户端测试: 

(2)在enforing 模式下,nginx的端口号被修改,并是实现页面正常访问

客户端测试:

 删除6666端口:

(3)在enforing 模式下,演示ssh端口号修改的selinux设定

测试: 

酥暮沐
关注
Linux系统下安全控制策略SELinux解析
Moyun_vackbot的博客
10-27 494
SELinux安全控制策略是安全体系中端点安全防护中的一环,其主要采用权限分类和认证的策略,使未经过认证的程序无法被执行,防止操作系统被入侵后陌生程序执行恶意程序和木马,Android的权限访问控制策略也借鉴了其中的安全思想。总的来说,SELinux的安全控制策略拥有优秀的安全控制框架,允许自定义适合自身系统的安全策略,增强Linux的系统安全,防御未知攻击。
Linux中的selinux,磁盘管理
最新发布
2301_80926503的博客
03-20 1095
Linux中的selinux,磁盘管理
SELinux策略规则
haohaoxuexiyai的博客
02-21 4889
目录一、SELinux Targeted、MLS和Minimum策略Target 策略MLS 策略Minimum 策略二、SELinux策略规则查看方法(seinfo和sesearch)三、SELinux策略规则的开启和关闭查询策略规则是否开启修改规则的开启状态SELinux导致vsftpd不能正常登录 一、SELinux Targeted、MLS和Minimum策略 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型
selinux 策略详解
2401_86544677的博客
10-30 957
SELinux(Security-Enhanced Linux)是一个 安全增强型Linux系统 ,旨在提高Linux平台的安全性。通过实施 类型强制访问控制 ,SELinux能够精确控制应用程序和系统资源之间的交互,从而有效防止未经授权的访问。其核心机制基于 安全标签 :每个系统元素都被赋予一个包含用户、角色、类型和级别的标签,这些标签决定了访问权限。
安卓SELinux策略
似霰的博客
05-07 789
安卓SELinux策略
Android-SeLinux安全策略
qq_46422460的博客
04-20 1527
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制)MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
SELinux SELinux SELinux
09-14
SELinux(Security-Enhanced Linux)是一个安全模块,它提供了对Linux操作系统上的强制访问控制(MAC)架构的支持。SELinux的主要目的是减少操作系统和应用程序中的安全漏洞,增强系统的安全性。SELinux的工作原理是...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的LinuxSELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-policy-3.13.1-268.el7-9.2.x64-86.rpm.tar.gz
02-03
在这个文件中,包含了名为selinux-policy-3.13.1-268.el7_9.2.x64-86.rpm的软件包以及其依赖文件。这类文件是通过RPM(Red Hat Package Manager)包管理器进行安装的,通常在基于Red Hat的Linux发行版中使用,比如...
Linux 从基础到进阶】SELinux 策略定制与调优指南
weixin_39372311的博客
10-14 2207
SELinux的布尔值用于启用或禁用策略中的某些功能。管理员可以通过调整布尔值来动态修改策略行为,而无需重新编译或更改策略文件。在某些特殊情况下,现有的SELinux策略可能不能满足需求。此时可以通过创建自定义策略模块来扩展SELinux的功能。
SELinux】总结之策略规则&语法&报错解决
Philister的博客
09-27 7065
SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥(哈希key)4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别和许可相关写法5.1 类别
SELinux策略语言--编写TE规则
u014674293的博客
08-02 1033
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
关闭selinux_SELinux入门
weixin_39661353的博客
11-18 445
初识SELinux什么是SELinux说专业一点: 安全性增强的Linux(SELinux)是Linux内核中强制性访问控制机制的一种实现, 它在检查了标准的自由访问控制后检查允许的操作. SELinux可以基于定义的策略Linux系统中的文件和进程及其动作实施规则.说的通俗一点: SELinux在大多数情况下可以理解为一个以进程为主体的资源访问白名单.再絮叨几点:额外的安全层: SE...
配置selinux策略_SELinux配置
weixin_39728909的博客
12-24 449
SELinux配置概述自主访问控制DAC(Discretionary Access Control)基于用户、组和其他权限,决定一个资源是否能被访问的因素是某个资源是否拥有对应用户的权限,它不能使系统管理员创建全面和细粒度的安全策略SELinux(Security-Enhanced Linux)是Linux内核的一个模块,也是Linux的一个安全子系统。SELinux的实现了强制访问控制MAC(...
配置selinux策略_SELinux安全策略配置
weixin_30340109的博客
01-14 364
SELinux安全策略配置李云雪;苏智睿;王晓斌【期刊名称】《信息网络安全》【年(卷),期】2004(000)002【摘要】随着Internet的发展,分布式应用迅速普及,加强整个分布式系统安全的前提是端系统必须能够基于机密性和完整性的要求实施信息的隔离,而操作系统提供的安全机制是确保信息隔离的基础。目前,未经安全加强的主流操作系统一般采用自主访问控制(DAC)机制,DAC仅仅依赖用户标识和属主权...
linux7 selinux策略,centos7 selinux
weixin_33345697的博客
05-16 559
selinuxSELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全。DAC 自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,...
SELinux策略语法以及示例策略
weixin_46645613的博客
01-01 1523
type a;#定义一个类型 atype a_t;#定义一个类型 a_t#定义一个属性 TestFile#定义一个类型 b_t,具有属性 TestFile#使a_t也具有TestFile属性type 和 attribute 两者位于同一个命名空间,也就是说如果定义了 type a,那就不能定义 attribute aa_t,后面有个 t 是表示 “type” 类型,这是 PC 端 SELinux 策略常见写法,但是 Android 不这样用,没有后缀。
selinux
03-08
### SELinux 配置与故障排除 #### SELinux 基本概念 Security-Enhanced Linux (SELinux) 是一种强制访问控制机制,旨在提供更细粒度的安全策略来保护操作系统免受恶意攻击。通过定义严格的安全标签和权限规则,即使应用程序存在漏洞,也能有效防止未授权行为。 #### SELinux 配置文件及其伪文件系统 关于 SELinux 的配置文件及相关文件系统的描述可以在特定章节找到[^1]。这些资源提供了详细的说明,帮助管理员理解如何调整 SELinux 设置以适应不同的应用场景需求。具体来说: - **`/etc/selinux/config`**: 这个文件包含了全局性的 SELinux 参数设定; - **`/sys/fs/selinux/**`: 此路径下的虚拟文件允许实时查询当前状态并动态更改某些选项而无需重启服务; 对于希望深入了解 SELinux 工作方式的人来说,研究上述提到的伪文件系统尤为重要,因为它不仅展示了 SELinux 如何与其他组件交互,还揭示了其内部运作逻辑的一部分。 #### 单用户模式下处理 SELinux 问题 当遇到难以解决的 SELinux 错误时,在单用户模式(运行级别为 1)中操作可能是一个有效的解决方案[^2]。此时由于大部分服务都被关闭,能够减少干扰因素从而更容易定位问题根源所在。例如,如果怀疑某个特定的服务因为错误标记而导致冲突,则可以通过临时禁用该服务来进行验证测试。 另外值得注意的是,在这种环境下还可以直接编辑 `/etc/selinux/config` 文件或者利用命令行工具如 `setenforce` 来切换 SELinux 模式而不必担心影响到正常业务流程。 ```bash # 切换至宽容(permissive)模式而非强制(enforcing),以便观察是否有任何违反政策的行为发生但不阻止它们执行 sudo setenforce 0 ``` #### 故障排查技巧 面对复杂的 SELinux 报错信息,建议采用以下几种方法进行诊断: - 使用 `auditd` 和 `ausearch` 组合分析日志记录中的 AVC(访问向量缓存)消息,这有助于识别具体的违规尝试以及涉及的对象。 - 尝试将 SELinux 设定为 permissive 而不是 enforcing ,这样可以收集更多有关潜在冲突的信息同时不会中断实际功能。 - 查看官方文档和支持论坛获取针对已知问题的具体指导方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值