SELinux 及其工作原理

最新推荐文章于 2023-03-22 17:42:34 发布
最新推荐文章于 2023-03-22 17:42:34 发布
阅读量1k 收藏 3
点赞数
分类专栏: Linux技术 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/David_ifx/article/details/121995649
版权

SELinux 是 NSA(国家安全局)于 2000 年创建的一个项目,旨在为 Linux 系统中的访问控制和用户许可、进程、文件、设备等提供更严格的安全措施。

要了解它是如何工作的,请将每个服务器文件、目录、用户、端口、进程或设备视为一个资源。每个资源都有一个标签(也称为“上下文”),该标签定义了其角色类型,并将表征允许的权限和操作。

包括用户和进程在内的每个操作系统资源都具有某种类型的访问控制属性。此资源类型也称为安全上下文。

安全上下文具有三个元素:用户、角色和类型标识符。每个元素的标识符名称在 SELinux 策略规则中定义。但在一个普通的政策中,99% 的决定都是根据类型做出的。

SELinux 允许或拒绝基于规则的操作,即“上下文 X 的进程可以与上下文 Y 的某事物相关联地这样做”。简而言之:在 SELinux 中,上下文就是一切。

当上下文应用于进程时,该类型称为“域”。类型和域之间没有实际区别,因为所有三个组件都只是名称。政策规则赋予它们意义。

猜测示例:当某个角色中的程序要访问文件等资源时,内核模块会在某些操作即将发生(“钩子”)之前被要求授予权限。某些角色规则应允许此类操作访问此资源类型。如果不是,则权限被拒绝并且无法执行操作系统操作。

SELinux 通过添加 -Z 选项来修改许多系统命令以显示对象和主题的安全上下文。例如,ls -Z 显示文件系统对象的安全上下文,而 ps -Z 显示进程的安全上下文。

上下文与经典的 UNIX 用户 ID、组 ID 或其他内容完全无关。

SELinux 政策

在您的系统中启用 SELinux 时,一切都应该完美无缺,因为这个安全系统将默认包含名为策略的规则,以允许正常使用大多数 Linux 软件。

SELinux 安全引擎的核心是它的策略。策略顾名思义:定义系统中所有内容的安全性和访问权限的一组规则。当我们说一切时,我们指的是用户、角色、进程和文件。该策略定义了这些实体中的每一个如何相互关联。

SELinux 策略定义了用户对角色的访问、对域的角色访问以及对类型的域访问。首先必须授权用户进入角色,然后必须授权角色访问域。该域又被限制为只能访问某些类型的文件。

有两种不同的策略类型:

  • Targeted policy – 基于范式的策略,即只有少数选定的应用程序应受 SELinux 限制。所有其他活动都依赖于良好的旧 UNIX 安全性
  • 严格策略——试图控制所有 SELinux 活动的策略

如前所述,SELinux 策略并不能取代传统的 DAC(用户组其他)安全性。如果 DAC 规则禁止用户访问文件,则不会评估 SELinux 策略规则,因为第一道防线已阻止访问。在评估 DAC 安全性后,SELinux 安全决策开始发挥作用。

当启用 SELinux 的系统启动时,策略会加载到内存中。SELinux 策略采用模块化格式,很像在启动时加载的内核模块。就像内核模块一样,它们可以在运行时从内存中动态添加和删除。SELinux 使用的策略存储会跟踪已加载的模块。sestatus 命令显示策略存储名称。semodule -l 命令列出当前加载到内存中的 SELinux 策略模块。

为了感受一下,让我们运行 semodule 命令:

semodule -l | less

如何准备您的系统以使用 SELinux?

即使您的系统中是否激活了 SELinux,大多数用于管理和更改 SELinux 配置的工具都是通过名为 policycoreutils 的“非必需”包安装在 RHEL 8 中的。因此,首先,通过尝试再次安装来确保在开始本指南之前已在系统中安装了此软件包。 现在我们应该有一个加载了所有 SELinux 包的系统。

sudo dnf install policycoreutils policycoreutils-python
 

我的服务器中有 SELinux Active 吗?

sestatus 用于查看系统上正在运行的 SELinux 的当前状态。
这是启用 SELinux 后在 RHEL 8 上得到的结果:

# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 31

这向您展示了 SELinux 已启用和强制执行,我们可以继续本教程。

如果您禁用了 SELinux,sestatus 执行会给您不同的结果: 要激活 SELinux 内核模块,您必须编辑 /etc/sysconfig/selinux 文件并在文件中配置参数,如下所示: 然后,重新启动系统,您将获得 SELinux启用。

sestatus
SELinux status: disabled



SELINUX=enforcing
SELINUXTYPE=targeted

请叫我曾阿牛
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SELINUX工作原理详解
09-14
主要介绍了SELINUX工作原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Linuxselinux详解
最新发布
huaz_md的博客
03-10 1208
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其中u代表user。
linux系统中selinux的简介与用法
热门推荐
jay_youth的博客
05-15 2万+
一.selinux的简介    1.什么是selinux:       selinux(security enhanced linux)安全增强型linux系统,它是一个linux内核模块,也是linux的一个安全子系统。       selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)    2.selinux有两个级别 强制和警告  setenforce  0|...
LinuxSELinux的介绍以及用法
xu710263124的博客
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
linux源码结构分析,Linux系统中SELinux的架构、原理及代码解析
weixin_36286567的博客
05-12 590
SELinux全称为安全增强式 Security-Enhanced Linux(SELinux),是一个在内核中实践的强制存取控制(MAC)安全性机制。SELinux 首先在 CentOS 4 出现,并在其后的 CentOS 发行版本获得重大改善。这些改善代表用 SELinux 解决问题的方法亦随著时间而改变。1、SELinux原理与架构SELinux的整体架构和原理都比较简单,使用也不复杂。其...
linux内核安全策略,SELinux 安全策略解析
weixin_29002961的博客
05-02 627
1、简介SELinux 是 Security-Enhanced Linux 的简称,是美国国家安全局(NSA=The National Security Agency) 和 SCC(Secure Computing Corporation)开发的基于 Linux 的一个强制访问控制安全模块扩展。原先是在 Fluke 上开发的,2000 年以 GNU GPL 协议发布。对于目前可用的 Linux 安...
selinux-coloring-book:用来帮助人们了解SELinux工作原理的图画书
05-08
selinux着色书 用来帮助人们了解SELinux如何工作的图画书。 基于Dan Walsh在opensource.com上发表的文章,该文章可在此处获得: : 学分作者: Dan Walsh 插画家: MáirínDuffy 译者波斯语(fa) :Mohsen Mostafa ...
SELinux by Example
01-16
1. **SELinux基础知识**:介绍SELinux的历史背景、目标、基本术语及工作模式(如`enforcing`、`permissive`和`disabled`)。 2. **策略构建与管理**:详细阐述如何创建、安装、更新和调试SELinux策略模块,使用工具...
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
selinux-example_SELinux_
09-28
linux selinux development
查看SELinux状态及关闭SELinux.pdf
07-13
查看SELinux状态及关闭SELinux
SELinux 入门详解
01-09
这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。 如果你在之前的 Linux 生涯中都禁用或...
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
hidl service selinux rule
02-07
Android HIDL模型下HAL Service添加SELinux规则所有相关改动
SELinux Cookbook
02-02
This book contains numerous chapters on the various aspects of SELinux handling and policy development in a recipe-based approach that allows every person to quickly dive into the details and ...
SELINUX工作原理
Linux知识积累
08-03 339
1. 简介SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。 Security-Enhanced Linux (SELinux)由以下...
Linux Selinux机制
四儿家的小祖宗的博客
03-22 651
主要介绍linux selinux机制,另举例解释如何添加selinux规则
SELinux原理及配置
溪仔的阿宝呀
05-06 729
Security-Enhanced Linux 安全增强型 Linux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 作用及权限管理机制 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源。 1、自主访问控制(DAC) 主体是用户。在没有使用 SELinux 的操作系统中,决定一个资源是否能被访问的因素是:某个资源是...
SELinux工作原理
07-15
SELinux工作原理基于安全策略和标签。每个文件、进程和资源都有一个唯一的安全上下文标签,用于标识其安全属性。这些标签由三个部分组成:用户标识(user)、角色标识(role)和类型标识(type)。 当进程尝试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

请叫我曾阿牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值