SeLinux

最新推荐文章于 2024-07-17 20:41:49 发布
最新推荐文章于 2024-07-17 20:41:49 发布
阅读量171 收藏
点赞数
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LwOOw_/article/details/116564202
版权

SeLinux安全性

  • 信息安全评估等级四类七级:D\C1,C2\B1,B2,B3\A,SeLinux隶属于B1级别

SeLinux特点:

  1. MAC 强制性访问控制,对访问的控制彻底化,对文件、目录、端口。
  2. RBAC 基于角色的访问控制,对用户赋予最小权限。 角色具备权限,root不再最大。
  3. TE 类型标签 类型执行,对进程赋予最小运行权限。对文件赋予type类型的标签,对进程赋予domain类型的标签,可规定某进程只能执行某类文件 。

SeLinux的执行模式:

  1. enforcing 强制模式,只要SeLinux不允许,则不可执行
  2. permissive 警告模式 ,将事件记录,仍允许执行
  3. disabled 关闭SeLinux

SeLinux的运行机制

SeLinux执行流程图

进程访问文件前,Selinux会先访问策略数据库来决定进程是否可对文件进行相关操作。

 

SeLinux的配置

  • SeLinux配置文件是 /etc/selinux/config
  • 通过getenforce查看当前模式
  • 开启SeLinux必须修改其配置文件,将SELINUX=disabled修改为SELINUX=enforcing,修改之后需要重启,初次启动因为要更新文件标签启动时间会较长。启动后临时关闭可以使用setenforce 0,将强制模式转换为警告模式,永久关闭应该修改配置文件;将警告模式转换为强制模式使用setenforce 1。

配置文件中mls是配置多级安全保护,同一身份的人拥有的权限不一样。

SeLinux权限划分

  • security context(安全上下文)

启动SeLinux后,所有文件与对象都有安全上下文,进程的安全上下文是域domain,安全上下文由用户、角色、类型构成。

  • policy:策略,决定各类型的访问规则
  • 安全上下文配置规则
  1. 系统根据pam子系统中的/lib64/security/pam_selinux_so模块设定登陆者运行程序的安全上下文。
  2. rpm包根据epm保内的记录来生成安全上下文
  3. 手工创建的会根据policy中的规则来设置安全上下文
  4. cp命令会生成新的安全上下文
  5. mv命令不会改变百年安全上下文
  • 安全上下文格式
    • user:类似linux中的uid,提供身份识别,三中常见user:
      • user_u 普通用户登录后预设
      • system_u 系统用户的预设
      • unconfined_u 未做定义的user
    • role: 被赋予权限的对象
      • 文件与目录通常是object_r
      • 程序通常是system_r
      • 用户role可以配置多个,但同一时间内只能使用一个role
    • type:给资源分组
      • 为系统中的每个主体和客体打上标识,划分组

待续。。。

 

 

 

-OMO-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Linux
字节跳动 内推找我
11-08 408
简介 本文的定位是为了备忘,如果需要更增强的阅读,请参见brendangregg的博客。 内存泄漏分析 传统的内存泄漏分析工具有Valgrind memcheck,catch住全部的内存访问,但是速度降低20-30倍。libtcmalloc速度降低5倍。还有通过core-dump来反向分析。 对于正在运行的程序,进行内存分析,归纳起来有四种方法: LInux:perf, eBPF linux上的...
linux中部署测试环境,迁移 linux系统,实现测试环境的快速部署
weixin_33488239的博客
05-05 360
最近,我维护的cloud环境DB部分计划维护,需要在本地快速搭建一个相同的模拟环境。cloud环境的DB部分架构如下:双机+mysql+HA+DRBD 为了实现测试环境的快速搭建,放弃了从头搭建环境的方法,而是选择将cloud环境的两个节点机器上的linux进行完整备份,然后在测试环境上恢复,实现环境复制的效果。具体步骤如下:1)将现有环境的进行备份tar cvpzf backup.tgz / -...
基于openssh 8.4p1源码包制作的OpenSSH rpm包的记录
ligaoman521的博客
10-20 2012
tar -xzf openssh-8.4p1.tar.gz ##openssh-8.4p1.tar.gz 源文件包不要删除,后面有用到;注:为安全起见,做好后手准备,安装一个telnet 或者 多打开链接几个标签。openssh-8.4p1.tar.gz openssh的源码包。恢复/etc/pam.d/sshd文件内容,重启sshd服务即可。报错1、/etc/pam.d/sshd 文件内容有变化。配置文件修改完毕,下面是所有的修改内容可cp,到此处恭喜,已生成想要的rpm包,
Unable to get valid context for root
weixin_34393428的博客
09-06 4428
登陆时报以下错误UnabletogetvalidcontextforrootLastlogin:WedJul2402:06:012013from10.64.41.3 单机模式进入后#vi/var/log/secure Jul2402:20:46JDC2-TMSP-SQL1-NEWsshd[4372]:Acceptedpasswordforroot...
Selinux -篇1 selinux简述
xieyinsen的专栏
11-25 1404
1、简述 相较于传统的自主访问控制策略,基于用户组管理实现。文件和进程基于用户组管理。 selinux为强制访问控制策略。基于对进程(app、bin)和其访问的文件(文件、服务、网络等)做的精准匹配。 抽象为进程域和对应的资源文件的访问策略。 以下文章重点讲述,android下的selinux实现策略。 1. 一般性错误检查,例如访问的对象是否存在、访问参数是否正确等。 2. DAC检查,即基于Linux UID/GID的安全检查。 3. SELin...
LinuxSELinux的介绍以及用法
热门推荐
xu710263124的博客
04-22 1万+
一、SELinux简介 1、什么是SELinuxSELinux(security enhanced linux)安全增强型Linux系统,它是一个linux内核模块,也是Linux的一个安全子系统。 Selinux的主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则) 2、SELinux有两个级别: 强制、警告 setenforce 0 :表示警告(Permissive) setenforce 1 :表示强制(Enforcing) 3、SELinux相当于一个插件(内核级的插件) 4、S
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux-example_SELinux_
09-28
**SELinuxLinux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
SELinux.zip
05-25
**SELinux:安全增强型Linux** SELinux,全称为Security-Enhanced Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,为用户提供了一种更为精细的权限管理机制。...
linux——selinux简介
weixin_45784367的博客
11-14 478
SELinux SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可...
selinux
windowsworld的博客
05-06 683
selinux级别的不同对服务的影响 selinux是内核上的一个插件 vim /etc/sysconfig/selinux 配置文件 SELINUX=XXXX(disabled,enforcing) 作用: 1.给文件加上一个标签,不符合标签的文件无法访问 2.给功能加上一个开关 未修改selinux为强制前(disabled),可以上传文件,新建的文件也可以看到 修改selinix为强制...
十五、基本selinux安全概念
qq_35197351的博客
11-05 368
selinux是强制访问控制安全系统,构建于kernel之上,拥有灵活而强制性访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保障,可防御未知攻击 selinux工作状态 selinux有三种工作状态,分别为 enforing(强制),permissive(警告),disabled(关闭); [root@localhost ~ ] # vim /etc/sysconfig/seli...
linux服务篇-Selinux服务
太极淘的博客
05-18 1176
SELinux( Security Enhanced Linux 安全性增强的Linux),由美国国家安全局NSA(National Security Agency)开发,构建与Kernel之上,拥有灵活的强制性访问控制结构,主要用在提高Linux的安全性,提供强健的安全保证,可以防御未知攻击,据称相当于B1级的军事安全性能(信息安全评估标准)! 信息安全评估标准:4类(D,C,B,A),7个级别:D,C1,C2,B1,B2,B3,A Selinux已经整合到了2.6的Ker...
关闭SELinux及防火墙,设定运行级别
_今已亭亭如盖矣
08-06 1944
版本 Centos6.6 x86_641.关闭SELinuxSELinux是美国国家安全局对于强制访问控制的实现。[root@muban ~]# cat /etc/selinux/config 3个状态选项。 eforcing激活状态; permissive要打印警告但未激活; disabled没有激活的状态。将状态修改为disabled,并查看[root@muban bin]# sed -
linux内核安全策略,SELinux 安全策略解析
weixin_29002961的博客
05-02 634
1、简介SELinux 是 Security-Enhanced Linux 的简称,是美国国家安全局(NSA=The National Security Agency) 和 SCC(Secure Computing Corporation)开发的基于 Linux 的一个强制访问控制安全模块扩展。原先是在 Fluke 上开发的,2000 年以 GNU GPL 协议发布。对于目前可用的 Linux 安...
Linux中的环境变量
最新发布
qhy850716的博客
07-17 538
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
深入理解SELinux:谷歌文档版
"这是一份关于SELinux的第四版笔记,由Richard Haines创作并受版权保护。笔记的内容可以按照GNU Free Documentation License的条款进行复制、分发和修改。此外,书中包含的脚本和源代码遵循GNU General Public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值