SELINUX(Security-Enhanced Linux 安全增强型Linux)(Enforcing、Permissive、Disabled)(targeted、minimum、mls)

已于 2024-02-22 17:01:31 修改
阅读量1.2k 收藏 14
点赞数 27
分类专栏: linux CentOS 文章标签: linux 安全
于 2024-02-22 17:00:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dontla/article/details/136235736
版权
本文介绍了SELinux,一种Linux内核的安全增强模块,支持强制访问控制。文章详细讲解了SELinux的三种模式(强制、宽容和禁用),主要策略类型(目标和严格),以及如何配置和使用SELinux布尔值来灵活管理系统安全。掌握这些内容有助于提升系统的安全性和控制力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

Introduction to SELinux(介绍SELinux)

Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies, including United States Department of Defense-style mandatory(强制的、义务的) access controls (MAC).

安全增强型Linux(SELinux)是一个Linux内核安全模块,它提供了一种支持访问控制安全策略的机制,包括美国国防部风格的强制访问控制(MAC)。

Understanding SELinux(理解SELinux)

SELinux is an implementation of Mandatory Access Control (MAC) in the Linux kernel. Unlike standard discretionary(自由决定的) access control (DAC), where an application or process running as a user or group has complete discretion over its files’ permissions, MAC allows administrators to define how applications and processes can access different resources.

SELinux是Linux内核中强制访问控制(MAC)的实现。与标准的自由裁量访问控制(DAC)不同,其中作为用户或组运行的应用程序或进程对其文件的权限有完全的裁量权,MAC允许管理员定义应用程序和进程如何访问不同的资源。

SELinux Modes(SELinux模式)(Enforcing 强制、Permissive 宽容、Disabled 禁用)

SELinux operates in one of three modes:

  1. Enforcing: SELinux policy is enforced(强制的). SELinux denies access based on SELinux policy rules.
  2. Permissive: SELinux policy is not enforced. SELinux does not deny access, but denials(否定) are logged for actions that would have been denied if running in enforcing mode.
  3. Disabled: SELinux is fully disabled.

SELinux有三种运行模式:

  1. 强制: 执行SELinux策略。根据SELinux策略规则拒绝访问。
  2. 宽容: 不执行SELinux策略。SELinux不会拒绝访问,但是如果在强制模式下运行将被拒绝的操作会被记录下来。
  3. 禁用: SELinux完全禁用。

SELinux Policies(SELinux策略)

Two main types of policies are used in SELinux: targeted and strict. The targeted policy, which is the default, targets(针对) and confines(限制) selected system processes. The strict policy confines all processes on the system.

SELinux主要使用两种类型的策略:目标和严格。默认的是目标策略,它针对并限制了选定的系统进程。严格策略限制了系统上的所有进程。

sestatus

The above command will display the current SELinux status, including the policy being loaded.

以上命令将显示当前的SELinux状态,包括正在加载的策略。

在这里插入图片描述

Configuring SELinux(配置SELinux)(targeted针对的、minimum最小化的、mls多级保护)

System administrators can manipulate(操作) the SELinux settings via the /etc/selinux/config file. Here, you can set the SELinux mode and choose the policy to load at boot time.

系统管理员可以通过/etc/selinux/config文件操作SELinux设置。在这里,您可以设置SELinux模式并选择在启动时加载的策略。

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

在这里插入图片描述

The settings in this file will take effect after a system reboot.
这个文件中的设置将在系统重启后生效。

这三种SELinux策略的范围从小到大可以理解为 “minimum” < “targeted” < “mls”。

  1. Minimum:这是最小的范围,只保护选定的进程。这是对"targeted"策略的一种修改,比"targeted"策略有更少的受保护的进程。

  2. Targeted:这个策略的范围比"minimum"大。它针对特定的系统进程进行保护,而其它进程则运行在传统的Discretionary
    Access Control(DAC)环境下。这是默认的SELinux策略。

  3. MLS (Multi Level Security):这是范围最大的策略,它为所有的系统进程提供了多级别的安全保护。

注意:

在这里,“targeted”和“minimum”是两种不同的SELinux策略类型。

  1. Targeted:这种策略只针对特定的系统进程进行保护,而其它进程则运行在传统的Discretionary Access Control(DAC)环境下。这是默认的SELinux策略。

  2. Minimum:这种策略是对"targeted"策略的修改。它只保护选定的进程,但比"targeted"策略有更少的受限制的进程。

所以说,“Targeted processes are protected”和“Only selected processes are protected”虽然看起来很像,但是它们所指的保护范围和级别是不同的。

Working with SELinux Booleans(使用SELinux布尔值)

SELinux booleans allow the administrator to modify SELinux settings on the fly(即时) without any need for policy recompilation(重编译). To get a list of all available SELinux booleans, you can use:

SELinux布尔值允许管理员即时修改SELinux设置,无需重新编译策略。要获取所有可用的SELinux布尔值列表,您可以使用:

getsebool -a

在这里插入图片描述

To set a particular boolean value, use the setsebool command:

要设置特定的布尔值,请使用setsebool命令:

setsebool -P httpd_can_network_connect 1

In this example, we’re allowing the HTTPD daemon to make(建立) network connections.

在此示例中,我们允许HTTPD守护进程进行网络连接。

getsebool -a

setsebool -P httpd_can_network_connect 1

在这里插入图片描述

Conclusion

结论

While it might seem complex at first, SELinux is an extremely powerful tool that allows system administrators to have fine-grained(细粒的) control over their systems’ security. It offers a higher level of access control and process separation(进程隔离) than traditional Unix permissions models. Understanding how to work with SELinux can significantly enhance your system’s security posture.

虽然一开始可能看起来很复杂,但SELinux是一个非常强大的工具,它允许系统管理员对他们的系统安全性进行精细控制。它提供了比传统Unix权限模型更高级别的访问控制和进程分离。理解如何使用SELinux可以显著增强您的系统的安全态势。

SELINUXSecurity-Enhanced Linux 安全增强型Linux)(EnforcingPermissiveDisabled
jixuczy的博客
04-18 545
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux中的selinux,磁盘管理
最新发布
2301_80926503的博客
03-20 1099
Linux中的selinux,磁盘管理
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
lxw1844912514的博客
09-04 4416
http://blog.sina.com.cn/s/blog_5aee9eaf0100y44q.html 在CentOS6.2 中安装intel 的c++和fortran 的编译器时,遇到来一个关于SELinux的强制模式不可执行的情况, 需要关闭SELinux 或者 将enforcing改为 permissive 模式,查询来一些资料后,先对SELinux的几种模式,以及其之间的...
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换
热门推荐
Tesi1a的充电桩
04-29 8万+
在Android的root相关的文章里经常会看到关于SElinux,Android4.3以后引进SElinuxSELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux 目前 SELinux 支持三种模式,分别如下: •enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了; •perm
selinuxEnforcing, Permissive 和Disable这三种模式的区别
weixin_40991510的博客
04-15 1万+
1、如果要马上拒绝运行SELinux: [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce Permissive 这条命令会把SELinux设定成Permissive模式,其中setenforce 1会把SELinux设定成Enforcing模式 2.把SELinux永久设定为Permissive模式 这里需要讲一下P...
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
weixin_34029680的博客
06-04 1367
SElinux共有3中状态。1、selinux的配置文件:/etc/selinux/config# This file controls the state of SELinux on the system.  3 # SELINUX= can take one of these three values:  4 #     enforcing - SELinux security policy ...
SELINUXSecurity-Enhanced Linux 安全增强型Linux)(EnforcingPermissiveDisabled(1)
2401_83946509的博客
04-28 810
Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies, including United States Department of Defense-style mandatory(强制的、义务的) access controls (MAC).
SELinux深度解析:安全增强型Linux的探索与应用(下)
博客虽小,世界尽在其中
06-06 1971
本文深入探讨了SELinuxSecurity-Enhanced Linux)作为安全增强型Linux的核心组件,在提升系统安全性方面的作用和应用。SELinux通过引入强制访问控制(MAC)机制,为Linux系统提供了更为精细和灵活的安全策略管理。文章首先概述了SELinux的起源、发展及其在系统安全领域的重要性。随后,详细解析了SELinux的基本概念,包括策略、主体、客体、访问向量等,并阐述了SELinux的三种工作状态:PermissiveEnforcingDisabled。 接着,文章深入探讨
SElinux怎样设置EnforcingPermissiveDisabled三种状态
2301_77695535的博客
08-20 779
未关闭时,getenforce查看SELinux状态为Enforcing。将SELINUX这一行替换为disabled,保存退出后则永久关闭。# getenforce查看状态变为Permissive。# setenforce 0(临时关闭,重启失效)注意,退出后重启生效。
Security-Enhanced LinuxSELinux
weixin_30952103的博客
09-21 317
http://space.doit.com.cn/45811/viewspace-2096.html Security-EnhancedLinuxSELinux),这在linux2.6的内核中,是你不得不关注的对象。无论是文件系统还是网络接口,到处都能不经意的瞥到它幽灵般的身影。其钩子的实现方式严重的影响着对内核的正常阅读,为此,很有必要把这个幽灵就出来使之大白于天下。 ...
6.6.3、SELinux 的工作模式:DisabledPermissiveEnforcing
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 1198
传统 Linux 系统使用访问控制方式的基础上,附加使用 SELinux 可增强系统安全。 在解释 SELinux 的工作模式之前先了解几个概念:
mysql 宽容模式_SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
weixin_27064205的博客
02-27 601
SElinux共有3中状态。1、selinux的配置文件:/etc/selinux/config# This file controls the state of SELinux on the system.3 # SELINUX= can take one of these three values:4 # enforcing - SELinux security policy is e...
linux必须运行在enforcing,设置 Selinux环境为 Enforcing模式
weixin_39988930的博客
05-01 1695
设置 Selinux环境为 Enforcing模式2019-02-20SELinux(Security-Enhanced Linux)是美国国家安全(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。1、vim /etc/selinux/configS...
SELinux enforcing
yh
01-11 545
#setenforce 1 设置SELinux 成为enforcing模式。1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态。setenforce 0 ##设置SELinux 成为permissive模式。将SELINUX=enforcing改为SELINUX=disabled。修改/etc/selinux/config 文件。
浅析linuxSElinuxtargeted规则(Policy)
完颜振江
02-11 3697
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖! 这里学习的是在规则targeted下的一些常用操作 1、查看本机的selinux的状态 [root@localhost
6.6.11、SELinux TargetedMLSMinimum 策略
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 713
SELinux 所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型还决定需要哪些特定的安全上下文属性。通过策略类型可以更精确地了解 SELinux 所实现的访问控制。
SELINUX=enforcing时无法启动httpd服务的解决方案(semanage命令以及setroubleshoot-server插件的妙用)
qq_42750608的博客
05-22 1066
SELINUX=enforcing时无法启动httpd服务的解决方案(semanage命令以及setroubleshoot-server插件的妙用)
如何提高Linux系统安全
A1_3_9_7的博客
12-19 971
Linux系统上使用防病毒软件是保护系统免受病毒和其他恶意软件侵害的重要措施。然而,与任何其他操作系统一样(甚至是更加),Linux 也容易受到安全威胁,因此采取措施提高系统的安全性非常重要。默认情况下,Linux用户可能拥有完全的系统访问权限,这可能导致安全风险。因此,将用户的权限限制在他们所需的最小范围内是很重要的。在 Ubuntu 和其他基于 Debian 的系统上,使用“apt-get”命令来更新系统。在 Red Hat 和其他基于 RPM 的系统上,则是使用“yum”命令。
linux内核SELinux
01-21
SELinux (Security-Enhanced Linux) 是一种强制访问控制机制,旨在增强 Linux 系统的安全性。通过定义严格的安全策略来限制进程和服务的行为,即使这些服务被攻破,攻击者也无法轻易获取更多权限。 ### SELinux ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dontla

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值