SELINUX初步理解

最新推荐文章于 2023-08-14 18:02:46 发布
最新推荐文章于 2023-08-14 18:02:46 发布
阅读量137 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHALLENG_EVERYTHING/article/details/109279787
版权

SELinux简介
1. 系统中所有的文件都必须打上SELinux的标签, 多个文件可以打上同一个标签
2. 每个进程运行在一个单独的domain中
3. 每个进程需要访问任何文件都需要进行显示的声明, 声明该domain对某标签的权限
系统中的每个进程会分配一个domain,每个domain有自己的te文件,te文件中显示声明了该domain有哪些权限。
每个进程做系统设计的时候,需要整理一份MAC权限表格, 编译系统会根据所有的excel表格生成selinux的策略文件

好吧我随便改的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【linux】SELinux工具:semanage的安装和使用
郭老二
03-19 6569
1、安装 在ubuntu14.04上安装 sudo apt-get install policycoreutils 在CentOS7上安装 sudo yum -y install policycoreutils-python 2、semanage命令行参数 $ semanage --help semanage用于配置SELinux策略的某些元素,而不需要对策略源进行修改或重新编译。 位置参数(...
启用SELinux时遇到的问题
windowsxpwyd的专栏
05-16 7573
一台CentOS5.7的机器,原来只是在公司内部访问,SELinux是禁用的状态,现需要搭建成FTP服务器并发布到外网上去,为了安全,启用SELinux。编辑/etc/selinux/config文件,将SELINUX=disabled改为SELINUX=permissive,保存后重启系统。(SELinux从禁用状态转变为启用时,需要重启系统以重新标记文件的上下文,红帽建议先将SELinux的值
Selinux -篇1 selinux简述
xieyinsen的专栏
11-25 1414
1、简述 相较于传统的自主访问控制策略,基于用户组管理实现。文件和进程基于用户组管理。 selinux为强制访问控制策略。基于对进程(app、bin)和其访问的文件(文件、服务、网络等)做的精准匹配。 抽象为进程域和对应的资源文件的访问策略。 以下文章重点讲述,android下的selinux实现策略。 1. 一般性错误检查,例如访问的对象是否存在、访问参数是否正确等。 2. DAC检查,即基于Linux UID/GID的安全检查。 3. SELin...
Linux学习记录(15)SELinux基础知识
Zhengw博客专栏
10-13 816
今天学习了SELinux的相关知识,所谓SELinux,就是一种安全机制,控制一些操作行为,避免造成损失。要注意SELinux是属于内核级别的安全机制。 介绍SELinux之前,先介绍几个概念。在Linux中分为两种,一个是进程,一个是系统资源。在SELinux中,分为了域(domain)和上下文(context),其中domain对进程进行限制,context则对系统资源进行限制。 SELi
Linux学习之SELinux
lv8549510的博客
06-18 591
SELinux简介 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。    SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(M...
SELinux介绍
内核工匠
06-04 1万+
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Po...
[Android][L][SELinux]Define a SELinux domain for Service
热门推荐
ganjinrui的专栏
04-08 1万+
一、适用情景 当在init.rc中新增service: service ro_isn /system/bin/isn.sh class late_start user root Oneshot kernel log会打印以下log: Warning!  Service ro_isn needs a SELinux domain defined; please fix! 这是因为Ser
linux 文件添加标签,SELinux——有趣的标签
weixin_29131709的博客
04-29 1865
·配置SELinuxSELinux是否启用给文件重新打标给端口设置安全标签设定某些操作的布尔型特性SELinux的日志管理1、SELinux的状态:·enforcing:强制,每个受限的进程都必然受限·permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志·disabled:关闭·相关命令:sestatus查看selinux的状态getenforce:获取当前seli...
Linux下 启动SELinux命令,如何开启或关闭SELinux
weixin_36194102的博客
05-01 1988
RedHat的 /etc/sysconfig/selinux在新版本中的Red Hat 和 Fedora 上,修改档案:# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security p...
linux selinux策略管理与标签
爱死亡机器人
03-24 6530
1. selinux 策略 #打开80/tcp 、443/tcp端口 firewall-cmd --permanent --add-service=http --add-service=https firewall-cmd --reload 文件系统权限:任何DocumentRoot必须由apache用户或用户组读取,大部分情况下,不允许apache用户或组写入。 selinux:默认selinux策略会限制httpd读取上下文,web服务器默认上下文是httpd_sys_content_t semana
Centos7修改SELinux导致开机出现--starting openssh server daemon
YoFog的博客
09-21 4195
之前把selinux关闭了,这次想打开selinux,于是修改了 /etc/selinux/config 文件,但是重启时,开机卡在了启动页面上,一直是----starting openssh server daemon。万能的关机重启也不能修复这个问题。我知道肯定是修改配置文件的问题。 重启系统,在GRUB引导画面时,按【E】,进入GRUB编辑状态。在ro前面加上【enforcing=0】,然...
开启Selinux遇到的坑
小刘的博客
01-25 3261
事故起因: 由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本中,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。 开启SELinux 实例上运行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SE
操作系统交换页面入门理解
CHALLENG_EVERYTHING的专栏
03-19 4103
    对于操作系统来说,当物理内存不足以满足为当前进程增加新的页面的时候,需要将当前内存中的页面置换出去,置换出去的页面一般是存放到磁盘上的,在linux下,有一种文件系统叫做交换分区,就是用来存放被操作系统从内存中置换出去的页面。    一般有两种模式用来实现交换分区的功能:    a.交换分区中保存进程的所有页面的副本    这种模式下,进程启动后,交换分区中就为该进程的虚拟内存空间分配了一...
Ubuntu下查看磁盘使用情况的工具
CHALLENG_EVERYTHING的专栏
06-15 561
最近工作中遇到下载代码过程中显示根分区磁盘空间不足的问题,发现ubuntu下有个图形工具查看磁盘的使用情况非常方便,叫做Disk Usage A nalyzer
virtualbox中给虚拟机加载新硬盘
CHALLENG_EVERYTHING的专栏
11-14 426
挂载新磁盘(扩容) 1.创建新磁盘(虚拟机关机状态下) (1)virtualbox界面/Settings/Storage/Controller:SCSI +号 (Adds hard disk)/Create new disk/VDI(默认) Next/Dynamically allocated(默认) Next/设置虚拟磁盘的名字和size/Create 2.挂载新磁盘 (1)查看磁盘: df -h 查看可用的磁盘名,比如sdb (不要与已有的磁盘重名) (2)格式化磁盘 虚拟机开机/按w
内存对齐的理解
CHALLENG_EVERYTHING的专栏
12-26 423
1.编译器默认的内存对齐规则 默认的对齐规则是一个变量的地址需要是其类型的长度的整数倍: 例如下面这个结构体: struct A { char m1; short m2; int m3; } 对于A变量的m1成员,其大小为1个字节,起始地址为0,可以满足整除的要求 对于A变量的m2成员,其大小为2个字节,因此起始地址1不满足被2整除,需要按照2字节对齐,因此,其起始地址为2,占用2,3两个字节 对于A变量的m3成员,其大小为4个字节,因此其起始地址4满足整除4这个要求 最终该结构的内
一个简单的MAKEFILE示例
CHALLENG_EVERYTHING的专栏
08-31 319
最近在自己编写自己的测试项目时觉得每次都是用G++命令去编译自己的项目还是有点麻烦,也是时候去学一学Makefile的写法了。 因此,针对自己的测试项目的特点(不太使用外部链接库),写了一个较为简单的MAKEFILE,也学到了不少makefile中的知识点 #目标文件名 TARGET_NAME=protectedFile #目标文件类型(可执行,静态库,动态库) TARGET_PREF...
首次使用ninja的体验
最新发布
CHALLENG_EVERYTHING的专栏
08-14 237
首先编写CMakeLists.txt,然后cmake -G Ninja生成build.ninja,最后ninja all对该build文件进行编译,生成二进制成果物。首先总结说自己的理解,就是NINJA是一个和MAKE同一级别的编译工具,在CMAKE/GRADLE等工具之下工作。cmake目前可以生成makefile,也可以生成ninja文件(CMAKE选项中增加了-G Ninja)当然也可以直接编写build.ninja文件然后ninja all来编译工程。ninja:源码安装。
调查线程死锁/阻塞的一种方法
CHALLENG_EVERYTHING的专栏
08-28 201
最近在使用冰羚中间件的时候,发现应用中的订阅者线程从冰羚获取到订阅数据后,经常随机出现阻塞的问题(应该没有死锁,因为只在该线程中访问冰羚订阅数据) 现象就是线程的while循环直接停了,并且排除到是sleep的原因(因为日志显示阻塞的时候还没有运行到sleep),由于时间紧迫,为了尽快解决问题,想到从线程栈来排查问题,问题就在于如何在阻塞时查看线程栈,搜索后发现通过给进程发送abort信号,可以产生核心转储文件或者说是墓碑,面有各个线程的调用栈,经过操作后获取到coredump文件,根据订阅线程所用的函
深入理解Linux编程
1. **Getting Started**:这部分引导读者进入Linux编程的世界,介绍基本的开发环境和工具,让读者对Linux编程有初步的认识。 2. **Writing Good GNU/Linux Software**:讲解如何编写高质量的Linux软件,强调良好的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值