学习笔记之Selinux

最新推荐文章于 2024-06-07 14:56:37 发布
最新推荐文章于 2024-06-07 14:56:37 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: 运维 文章标签: 运维 linux selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ghost_leader/article/details/53235190
版权
本文详细介绍了Selinux的基础知识,包括如何查看其状态,展示Selinux对系统进程的影响,以及如何修改和管理Selinux的类型。通过实践步骤,读者将学会如何在不改变Selinux类型的情况下关闭和开启它。
摘要由CSDN通过智能技术生成

1.Selinux基础知识

      selinux(Security  Enhanced Linux)。一目了然,安全强化的linux。其实Selinux就是为了安全而设计了很多标签,一些和安全相关的进程如httpd,vsftpd等程序就被限制,如果某个文件贴上了相应的标签,和httpd,vsftpd等对应的标签一样,这些进程才会被允许访问。
   SElinux是通过MAC的方式来控管进程,他控制的进程,他控制的主体是进程。而目标是该进程是否可以读取“文件资源”。先来说明一下相关性
   1.主体(Subject)
就是管理的进程
   2.目标(Object)
就是文件系统啦
   3.策略(Policy)
targeted:针对关于网络服务限制较多,针对本机限制较少,是默认的策略
strict:完整的Selinux。很严格的限制
   4.安全上下文(Security context)
主体与目标的安全上下文必须一样才能允许被访问
 

2.查看SELinux的状态

先看看Selinux开没开 
[root@www CA]# getenforce 
Permissive

Permissive 就是容忍模式。不会限制权限,但是会警告你,这样不好。

设置为1就是强制模式了 
[root@ns home]# setenforce 1
[root@ns home]# getenforce 
Enforcing

怎么查看文件的Selinux的状态呢 



                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Ghost_02
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
selinux 学习笔记,帮助学习seLinux 使用

				
			

			

				

					11-08
				

			

		

		

			
				
SELinux 学习笔记SELinux,全称 Security-Enhanced Linux,是 Linux 操作系统中的一个强制访问控制(Mandatory Access Control, MAC)框架,旨在提高系统的安全性,防止恶意攻击者通过权限提升和权限滥用来...

			
		

	



                

              
                



	

		

			

				
					
LinuxSELinux

				
			

			

				

					qq_57289939的博客
				

				

					09-07
					
					1301
					
				

			

		

		

			
				
SELinux(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源例如--- 电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情。

			
		

	



                


  
              

                


	

		

			

				
					
SELinux “unlabeled”标签产生的两种场景及解决方案

				
			

			

				

					李老板的移动安全杂货铺
				

				

					09-15
					
					3261
					
				

			

		

		

			
				
SELinux出现unlabeled的两种场景做了简单的记录,深度分析形成原因,并且给出了对应的解决方式。两种场景均为笔者在实践过程中遇到的真实场景,是从事Linux安全开发的研发人员大概率会遇到的场景,希望可以帮助大家快速定位和解决类似问题。

			
		

	





	

		

			

				
					
Android 10添加分区unlabeled的原因分析及解决办法

					
最新发布

				
			

			

				

					feibafeibafeiba的博客
				

				

					06-07
					
					58
					
				

			

		

		

			
				
既然清楚了问题,那就好办了,去找新建分区unlabeled的解决办法,看到了一位博主的博客,大致的意思就是,新建的分区在SELinux初始化的时候还未挂载,所以即使配置好了相关的SELinux策略也不生效,因为配置的是具体的type的SELinux权限,而实际上该分区却是unlabeled,我们需要在新建的分区挂载之后重新去加载分区的sepolicy,故在device下的init.xxx.rc文件中加入restorecon_recursive [分区名]即可。

			
		

	



		

			
		



	

		

			

				
					
centos7开启selinux导致无法修改主机名

				
			

			

				

					龚帅立的博客
				

				

					06-28
					
					1022
					
				

			

		

		

			
				
出现问题: 使用ansible部署openshift初始化环境的时间,脚本执行到修改主机名时间报错,经排查是hostname系统服务宕机了

#执行的代码如下
---
- name: set the host name
  command: hostnamectl set-hostname {{ hostname }}



问题分析:

我们通过 ls -Z 命令我们可以查看文件上下文信息,也就是/etc/hostname文件的SELinux信息:

[root@master1 etc]# ls -Z h

			
		

	





	

		

			

				
					
解决selinux的警告

				
			

			

				

					良玉的博客
				

				

					07-18
					
					7456
					
				

			

		

		

			
				
Nagios  and SELinux
Nagios 3.2.0    CentOS 5.4
在开启SELinux的情况下,SELlinux不断警告:




tail /var/log/messages

Mar 9 23:58:53 wingwu setroubleshoot: SELinux is preventing
 ping (ping_t) "read write

			
		

	





	

		

			

				
					
linux文件属性字段,SElinux与文件属性权限

				
			

			

				

					weixin_32218919的博客
				

				

					04-28
					
					1048
					
				

			

		

		

			
				
文件属性与权限的相关记录:1234[root@test ~]# ls -lsh /dir-path8.9M -rw-r--r--. 1 root root 8.9M 9月66M -rw-r--r--. 1 root root  66M 9月1.8M -rw-r--r--. 1 root root 1.8M 9月在文件的属性权限后面出现了一个小点., 这是在SElinux开启的情况下创建的文件所有,...

			
		

	





	

		

			

				
					
Nginx学习笔记

				
			

			

				

					03-27
				

			

		

		

			
				
【Nginx学习笔记】  Nginx是一款由俄罗斯开发者Igor Sysoev设计的高性能、高并发的Web服务器和反向代理服务器。最初应用于俄罗斯知名网站www.rambler.ru,随后开源,采用类BSD许可,使得全球用户都能使用。Nginx以其...

			
		

	





	

		

			

				
					
Linux实践工程师学习笔记.docx

				
			

			

				

					11-20
				

			

		

		

			
				
这篇文档是关于Linux实践工程师的学习笔记,主要包括了用户环境配置、硬件检测、系统服务管理以及一些常用系统管理命令。下面将详细阐述这些知识点。  1. **用户环境**:  - `locale` 命令用于查看当前系统的语言...

			
		

	





	

		

			

				
					
ClickHouse入门学习笔记

				
			

			

				

					11-12
				

			

		

		

			
				
综上所述,学习ClickHouse涉及其基本概念、数据类型、存储结构、SQL语法、副本和集群管理、查询优化等多个方面,为大数据分析提供了强大且高效的解决方案。掌握这些知识点将有助于构建和优化ClickHouse系统,实现...

			
		

	





	

		

			

				
					
framework学习笔记

				
			

			

				

					05-17
				

			

		

		

			
				
### Framework学习笔记  #### 1. ps 命令  `ps`命令是查看系统当前运行进程的状态的一个常用工具。在Linux系统中,通过`ps`可以获取到系统的进程信息,包括PID、PPID、状态等。对于Android系统而言,`ps`同样是一个...

			
		

	





	

		

			

				
					
解决 系统升级后Selinux的file_context指定的目录或者文件域变成unlabeled

				
			

			

				

					nuanhua209的专栏
				

				

					03-22
					
					7670
					
				

			

		

		

			
				
最近遇到一个selinux相关问题,相关的denied打印如下:
avc: denied { write } for name="/" dev="mmcblk0p10" ino=2 scontext=u:r:AAAA:s0 tcontext=u:object_r:unlabeled:s0 tclass=dir permissive=0

avc: denied { create } for

			
		

	





	

		

			

				
					
sepolicy 中unlabeled 修改

				
			

			

				

					私房菜
				

				

					08-23
					
					4370
					
				

			

		

		

			
				
 

文章出处:http://blog.csdn.net/shift_wwx/article/details/77500458

请转载的朋友标明出处~~

 

 

 

最近需要在平台上添加一个persist 分区,需要添加sepolicy,但是不管怎么修改,发现分区最终 ls -Z 出来一直是:u:object_r:unlabeled:s0,而不是想要的persist_file 属性。

...

			
		

	





	

		

			

				
					
Linux学习Linux启动过程的问题解决

				
			

			

				

					技术=勤奋+思考
				

				

					11-06
					
					1万+
					
				

			

		

		

			
				
 

引用:《鸟哥的Linux私房菜基础篇第三版》

很多时候,我们可能因为做了某些配置,或者是因为不正常关机 (例如未经通知的停电等等) 而导致系统的 filesystem 错乱,此时,Linux 可能无法顺利启动成功,那怎么办呢?难道要重灌?当然不需要啦! 进入 rescue 模式去处理处理,应该就 OK 的啦!下面我们就来谈一谈如何处理几个常见的问题!

忘记 root 密码的解决之道

大...

			
		

	





	

		

			

				
					
Docker 挂载权限 chcon: can't apply partial context to unlabeled file

				
			

			

				

					看看我都干了些啥!
				

				

					11-18
					
					2452
					
				

			

		

		

			
				

Docker 挂载权限 chcon: can't apply partial context to unlabeled file
 
参考:http://www.linuxidc.com/Linux/2012-09/70199.htm
 
# chcon -t samba_share_t /software 
chcon: can't apply partial context to ...

			
		

	





	

		

			

				
					
如何关掉Selinux,错误,iconfig :commod not found,关防火墙命令

				
			

			

				

					星河_SR的专栏
				

				

					02-16
					
					3398
					
				

			

		

		

			
				
在新版本中的Red Hat 和 Fedora 上,修改档案/etc/sysconfig/selinux:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is

			
		

	





	

		

			

				
					
SELinux配置和更改安全上下文

				
			

			

				

					
				

				

					04-23
					
					1万+
					
				

			

		

		

			
				
配置SELinux

我们已经在Selinux的由来和安全上下文中了解到SELinux的基本概念。
我们知道SELinux会对进程和文件进行权限控制,而让阻止某些进程访问不该访问的文件。
实际上,在真实场景中,虽然SELinux为默认的内核模块,然而实际上,我们还是可以控制其开启和执行。
首先,让我们查看默认的当前的SELinux配置:


$ cat /etc/sysconfig/selinux...

			
		

	





	

		

			

				
					
【Android】关于selinux等引起的权限问题

				
			

			

				

					Joymine的专栏
				

				

					11-01
					
					2340
					
				

			

		

		

			
				
本文章会持续更新问题背景1:在系统中间增加一个parameter分区,主要用来存储音频参数等硬件参数。但是在audioserver进程访问的时候出现权限问题 
相关信息:Android N+MTK 
如何创建分区打包成镜像放到手机? 
在build/core/Makefile中间的修改如下:
## Generate an ext4 image
TARGET_PARAMETER_OUT := $(PR

			
		

	





	

		

			

				
					
Selinux是什么,有啥用,如何关闭和开启

					
热门推荐

				
			

			

				

					暗黑世界
				

				

					03-01
					
					3万+
					
				

			

		

		

			
				
一:是什么

它叫做“安全增强型 Linux(Security-Enhanced Linux)”,简称 SELinux,它是 Linux 的一个安全子系统

二:有什么用

其主要作用就是最大限度地减小系统中服务进程可访问的资源(根据的是最小权限原则)。避免权限过大的角色给系统带来灾难性的结果。
...

			
		

	





	

		

			

				
					
selinux学习笔记

				
			

			

				

					10-13
				

			

		

		

			
				
学习SELinux需要掌握以下几个方面:  1. SELinux的基本概念和工作原理 2. SELinux的安装和配置 3. SELinux的策略管理和定制 4. SELinux的日志分析和故障排除 在学习SELinux时,需要注意以下几点:  1. SELinux的策略...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值