SElinux

最新推荐文章于 2023-02-05 14:58:27 发布
最新推荐文章于 2023-02-05 14:58:27 发布
阅读量527 收藏 1
点赞数
分类专栏: Linux系统管理 文章标签: SElinux linux安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HzSunshine/article/details/53383508
版权
一 SElinux是什么
    SElinux是美国国家安全局开发为linux安全强化,是在程序、文件等权限设置时依据的一个核心模块。
        自主式存取控制(DAC):根据程序的拥有者和文件rwx权限决定操作者对文件有无存取权限,所以root就可以操作任何文件(不安全,容易误操作)。
        委任式存取控制(MAC):针对特定的程序与特定的程序与文件进行权限控管(root也是)。
        SElinux就是通过MAC方式来控制程序,它有些控管默认的政策和规则。
二SElinux运行模式
    
    
    1)主体程序(进程)必须要通过SELinux政策内的规则放行后,就可以与目标资源进行安全性上下文的比对。
     2)若比对失败则无法存取目标,若比对成功则可以开始存取目标。
     (服务用不了跟SElinux有关的:要么是 规则的布林值限制 直接定义了,要么就是 安全上下文不匹配

     目前的政策一般用 targeted。 ( getsebool  -a 可查看规则限制 )
   
   SELinux策略包括两点:安全上下文
     SElinux域:对进程资源进行管理(其实算是进程的安全上下文
        ps -Z 查看
        
    SElinux安全性上下文:对系统资源进行限制(文件目录的安全上下文
        安全性上下文存在于主体程序中与目标文件资源中。每个文件都有,存在文件的indoe中。
        ls -Z 可查看
        
        
          可分为三字段:  Identify (_u):role (_r):type (_t) 
        Identify(身份识别):
            1.unconfined_u:不受限用户。
            2.system_u:系统用户。
        role(角色):
            1.object_r:代表文件和目录等文件资源。
            2.system_r:代表程序。
        type(类型)(重要!)
            1.type:在文件资源上
            2.domain:在主体程序上(进程的
            type与domain匹配,程序才能够顺利读取文件资源
三 SElinux模式
    1.enforcing:强制模式。运行,开始限制domain/type.
    2.permissive:宽容模式。运行,不限制只警告
    3.disabled:关闭。
   

    SElinux相关命令(/etc/selinux/config)
        1.getenforce 查看SElinux状态
        2.sestatues 查看SELinux的政策
         -v检测列于 /etc/sestatus.conf 内的文件与程序的安全本文内容
          -b 将目前规则的规则布林值列出,也就是某些规则(role)是否启动(0/1)
        3.SElinux开启与关闭 修改/etc/selinux/config下的SELINUX=(mode)  (要重启,必须的)
        4.setenforce nu 开启状态模式切换 (不用重启)
            0 permissive模式
            1 Enforcing模式

四 SElinux政策里的规则管理(查看SElinux政策的规则是否允许某些服务在某些目录下开发)
    1.getsebool 规则名 查看规则是否启动
      -a 列出所有系统的所有SElinux规则的布林值设置启动
   
    2.setsebool 设置规则的布林值开启/关闭
         -P 永久生效

    (扩充工具应用)
    规则具体限制要查看需seinfo sesearch工具(默认不安装 yum install setools-console-*
    1.seinfo 
      -A 列出SELinux的状态、规则布林值、身份识别、角色、类别
      -u 列出SElinux的所有身份识别(user)种类
      -r 列出SELinux的所有角色(role)种类
      -t 列出SELinux的所有类别(type)种类
      -b 列出所有规则种类
    2.sesearch [-A] [-s 主体类别] [-t 目标类别] [-b 布林值]
        -a 列出后面数据允许"读取或放行"的相关数据
      -t type
      -b SELinux规则
   

五 SElinux安全本文的修改(主要用于文件因SElinux的type不符合要求而无法运行的修改)
    1.chcon file/dir
      -R 连同该目录下的此目录也同时修改
      -t type 指定安全文本的类型字段
       -u Identify 指定身份
       -r role 指定角色
      -v 若有变化,列出变化结果
      --reference=file1(范例文档) 拿某个文档当范例来修改后接文件
    2.restorecon file/dir 把目录下的文件恢复成默认目录的type (常用)
     -R 连同次目录一起修改
     -v 显示过程
       -e 排除目录
       -i 忽略不存在文件
       -F 强制恢复
    3.semanage 默认目录的安全性本文查询与修改
    {login|user|port|interface|fcontext|translation}
     fcontext : 主要用于安全环境。(/etc/selinux/targeted/contexts/
      -l 查询
      -a 增加目录的默认安全性本文设置
      -m 修改
      -d 删除
            -t type   指定安全文本的类型字段
           -u  Identify  指定身份
           -r  role  指定角色
    修改后,ll -Z 显示不会立即变,可用 restorecon -Rv 目录 恢复立即才会生效
(整理自《鸟哥》《Linux就该这么学》)
    

mSun96
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Android][L][SELinux]Define a SELinux domain for Service
ganjinrui的专栏
04-08 1万+
一、适用情景 当在init.rc中新增service: service ro_isn /system/bin/isn.sh class late_start user root Oneshot kernel log会打印以下log: Warning!  Service ro_isn needs a SELinux domain defined; please fix! 这是因为Ser
Linux下的selinux
weixin_43936969的博客
11-14 333
一、selinux的定义 selinux: 一种控制服务安全,是内核上面的一个插件,也叫做内核级加强型火墙,是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以...
Define a SELinux domain for Service
09-27
How to define a SELinux domain for a new Service. 最简洁的模板
SELinux简介
MyArrow的专栏
08-08 7977
1. 简介     SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux® 上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux
binary进程的selinux domain初始化过程(初稿,待整理)
weixin_34216107的博客
03-20 346
虽然在各种context文件中声明了每个subject对应的domain,可是这个domain是如何与一个进程关联的呢?把一个domain与一个进程关联分为两种:1)fork出来进程以后,然后通过传递参数的方式动态的修改新进程的domain;2)通过exec某个binary启动进程,该新启动进程的domain是由其对应的binary object的context决定。但是无论是哪种启动方式,最终的...
SELinux手册 电子书 pdf 英文
最新发布
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
SELinux.zip
05-25
**SELinux:安全增强型Linux** SELinux,全称为Security-Enhanced Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,为用户提供了一种更为精细的权限管理机制。...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的 该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如,现有的三星内核。 如何安装: 稳定发布: 从发布页面最新的selinux_permissive.zip MagiskManager->模块+ Downloads / selinux_permissive.zip->重新启动 主分支: git clone cd selinux_permissive 进行安装 支持
SELinux基础
m0_59081230的博客
02-05 312
SELinux(Security Enhanced Linux)提供了一个额外的系统安全层。SELinux 可用于解 答:是否可以针对进行?。例如:一个 web 服务器是否可以对用户目录 中的文件进行访问? 系统默认系统管理员一般无法通过基于用户、组群和其它权限(称为 Discretionary Access Control, DAC)的标准访问策略生成全面、精细的安全策略。 SELinux
Linux学习——selinux
qq_41679358的博客
07-13 628
SELinux三种模式简介 Enforcing:强制模式。代表SELinux在运行中,且已经开始限制domain/type之间的验证关系 Permissive:宽容模式。代表SELinux在运行中,不过不会限制domain/type之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正确会发出警告 Disabled:关闭模式。SELinux并没有实际运行 getenforce 查看当前SELinux的运行模式 setenforce 改变当前SELinux的运行模式(0 宽容模式 1
Selinux的type创建
无本之木
08-16 3319
In fedora the resources and files necessary for building new modular policies are in the devel directory under /usr/share/selinux/. This directory and all the files required for module development com
Selinux -篇1 selinux简述
xieyinsen的专栏
11-25 1406
1、简述 相较于传统的自主访问控制策略,基于用户组管理实现。文件和进程基于用户组管理。 selinux为强制访问控制策略。基于对进程(app、bin)和其访问的文件(文件、服务、网络等)做的精准匹配。 抽象为进程域和对应的资源文件的访问策略。 以下文章重点讲述,android下的selinux实现策略。 1. 一般性错误检查,例如访问的对象是否存在、访问参数是否正确等。 2. DAC检查,即基于Linux UID/GID的安全检查。 3. SELin...
linux基础概念,SELinux基本概念详解
weixin_34086714的博客
05-14 202
SELinux(Security Enhanced Linux),以下是SELinux的三种类型实际操作流程示意图:意义:传统的Linux权限控制采用自主式权限控制(Discretionary Access Control, DAC),依据程序拥有者和资源的rwx权限决定有无存取能力.这样存在root账户盗用可以使用任何资源和目录如果被设为777权限而导致任意存取和操作的问题.SELinux采用M...
新增一个hidl service的selinux配置
MZJ_CSDN的博客
12-11 472
selinux配置
Selinux理解
ELIUAK_d的博客
10-20 937
了解 selinuxSELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,是由NSA编写并设计成内核模块包含到内核中 扩展: UNIX的安全模型是:任意的访问控制(DAC)。任何程序对其资源享有完全控制权限 而MAC ...
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
深入理解SELinux:谷歌文档版
"这是一份关于SELinux的第四版笔记,由Richard Haines创作并受版权保护。笔记的内容可以按照GNU Free Documentation License的条款进行复制、分发和修改。此外,书中包含的脚本和源代码遵循GNU General Public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值