使oracle运行在selinux中的实践-附源代码

最新推荐文章于 2024-04-29 20:04:23 发布
最新推荐文章于 2024-04-29 20:04:23 发布
阅读量2.4k 收藏
点赞数 1
分类专栏: Linux安全 文章标签: linux Linux LINUX module oracle Oracle ORACLE 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ropyn/article/details/8293035
版权

已经差不多1年半没有发文了,眼看着2012即将成为过去,看着荒草丛生的博客,心中想着还是发点什么东西,也许会帮到别人。同时,也聊以自慰自己还在技术圈混呢。


2011年初,在一次安装体验FC14的过程中注意到了其已经很完善的SELinux模块。记得在几年前第一次看到Linux发行版中的SELinux简直认为就是个鸡肋,什么都不能运行。但在FC14中大量的模块使我映像深刻,所有系统的默认服务:比如,httpd,ftpd,mysql等等都有了相应的安全策略模块,而且都可以在开启SELinux的情况下使用这些服务,注意,带来的好处是系统运行在SELinux 的enforcing的安全策略上下文中-即MAC(Mandatory Access Control),那就是说这里的web服务器将比任何一个不运行SELinux的web服务器安全的多,黑客的入侵基本上不可能。技术人员的天生的学习欲望驱使我开始学些并挖掘如何能最大化SELinux的优点,并为我所用。当时,正好碰到一个问题,我安装的Oracle服务器无法启动,当时忘记了系统默认是SELinux开启的。最后经过一番苦斗才无意中发现了/var/log/audit.log中尽然有大量被Denied请求,而且进程都是oracle的进程,才意识到是SELinux阻止了oracle进程运行。所以,作为一个学习SELinux练习和实践,开始练习如何自己创建SELinux模块,以使某一个服务能够运行于其安全上下文的实践。

过程不是很长,大概1个多星期的所有业余时间,最终完成了创建oracle SELinux模块。也对整个SELinux的架构有了深刻的了解。设计细节就不讲太多了,直接上结果和代码。也许有人需要(据我了解oracle他们给客户的解决方案仍然停留在:停止SELinux,运行Oracle 层面 :-))

这是ps的截屏:

可以看到oracle的进程运行在一个自定义的安全上下文unconfined_u:system_r:oradb_t:SystemLow 中。 oradb_t是进程运行的域(Domain)-我大致按照SELinux命名习惯起的名字。后面在相关代码将看到更多命名。


这是相关文件一览。

于2011-02-16上传最后一次修改,到2012年年底才发文,我太懒了:-(

模块源文件介绍:

oradb.fc  - SELinux模块的文件上下文(file context)定义,或安全上下文定义。我们将需要用restorecon或setfiles工具 重新label文件系统,使所有这里定义的文件具有我们所设计的安全上下文。

oradb.if  - SELinux接口定义。我还没有想到代码重用的必要,所以并没有设计可重用的接口,所以这个文件是空的,只有一行注释。我也不贴内容了。

oradb.te  - 这就是SELinux安全策略源文件。所有的访问,运行,以及域转换的策略都定义于此。

oradb.pp -  这不是源文件,只是上面的3个源文件编译后生成的目标代码。使用semodule工具进行安装。


源文件oradb.fc

# dbora executable will have:
# label: system_u:object_r:oradb_exec_t
# MLS sensitivity: s0
# MCS categories: <none>

#
# ORACLE_HOME
#
/usr/share/oracle/product/11.2.0/dbhome_1(/.*)?         gen_context(system_u:object_r:oradb_dbhome_content_t,s0)
/usr/share/oracle/product/11.2.0/dbhome_1/.*\.log  --      gen_context(system_u:object_r:oradb_log_t,s0)
/usr/share/oracle/product/11.2.0/dbhome_1(/.*)?/bin/.*      gen_context(system_u:object_r:oradb_exec_t,s0)
/usr/share/oracle/product/11.2.0/dbhome_1/lib(/.*)?		gen_context(system_u:object_r:lib_t,s0)
#
# /usr/share/oracle/diag
#
/usr/share/oracle/diag(/.*)?            gen_context(system_u:object_r:oradb_diag_content_t,s0)

#
# /usr/share/oracle/admin
#
/usr/share/oracle/admin(/.*)?            gen_context(system_u:object_r:oradb_admin_content_t,s0)

#
# /usr/share/oracle/flash_recovery_area
#
/usr/share/oracle/flash_recovery_area(/.*)?            gen_context(system_u:object_r:oradb_flash_recovery_area_t,s0)

#
# /usr/share/oracle/cfgtoollogs
#
最低0.47元/天 解锁文章
DanXer
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux centos7 静默安装 oracle 11g,【亲测有效】,包含远程连接、提供安装包
AKA石头
07-14 2745
linux centos7 静默安装 oracle 11g,【亲测有效】,包含远程连接、提供安装包
selinux源码分析
04-12
selinux入门教程,系统地介绍了selinux的历史以及特点并详细地分析了其hook函数。
Linux——selinux实验
最新发布
Xinan_____的博客
04-29 1034
1.启用用户宿主目录public目录的访问2.在严格模式访问失败3.宽容该模式下访问成功4.检查默认主页文件的安全上下文5.修改用户家目录下的文件的安全上下文和默认主页文件一致,即使严格模式下,访问也是成功的打开防火墙semanage。
selinux oracle 12,CentOS 7 安装 Oracle 12c 步骤
weixin_42356829的博客
04-16 92
CentOS 7 安装 Oracle 12c 步骤catoop 2019-09-28 23:35:02 2170 收藏 4分类专栏: 数据库版权本例操作系统版本:CentOS 7.7、数据库版本:Oracle 12c(12.2)安装步骤如下分解:1.关闭防火墙,禁止防火墙开机自启# 关闭防火墙systemctl stop firewalld.service# 禁止防火墙开机启动systemctl ...
linux-selinux功能及源码分析
03-22
该书详细介绍了linux关于selinux部分功能的实现流程和关键代码分析
SELinux 安全机制实践应用
肖岩
10-09 531
当你有所得,最好是用文字总结记录,这才是进步的关键!! --------20191009 一、先了解一下SELinux的安全机制 DAC和MAC SELinux出现之前,Linux上的安全模型叫DAC,全称是Discre...
鸟哥私房菜实践(5)- SELinux
justkk的专栏
12-04 910
针对控制的『主体』变成了『程序』而不是用户喔! 此外,这个主体程序也不能任意使用系统档案资源,因为每个档案资源也有针对该主体程序设定可取用的权限! targeted:针对网络服务限制较多,针对本机限制较少,是预设的策略; 主体(程序) -> 策略检查 -> 安全上下文比对 -> rwx检查 -> 目标文件 1、查看目前的 SELinux 状态 sestatus geten
LINUX安装oracle缺少的rpm包
07-25
Linux环境安装Oracle数据库,尤其是Oracle 11g时,可能会遇到依赖问题,因为Oracle数据库软件需要特定的库和工具才能正确运行。本篇文章将详细解释如何解决在Linux上安装Oracle 11g时可能遇到的缺失RPM包问题。 ...
redhat6.4-64位系统Oracle安装依赖包
12-02
在Red Hat Enterprise Linux 6.4 64位操作系统安装Oracle 11g数据库时,需要确保系统已经正确配置了所有必要的依赖项。Oracle 11g是一款功能强大的企业级数据库管理系统,其安装过程相对复杂,尤其对于64位系统...
Oracle 11g 2R安装依赖包
12-06
2. **开发工具**:Oracle的编译和安装过程可能需要C语言编译器,例如GCC,以及相关的开发库,如`binutils`,`gcc-c++`等,用于编译源代码。 3. **Kernel参数调整**:为了使Oracle运行高效,需要调整Linux内核参数,...
Oracle 12cR1
12-02
1. **开发工具**:如GCC(GNU Compiler Collection),用于编译Oracle源代码。 2. **库文件**:如libaio(异步I/O库)和openssl,对于数据库的高效运行和安全性至关重要。 3. **系统工具**:如lrzip和unzip,用于...
oracle centos7 asm依赖包
05-27
- `gcc`:编译器,用于编译安装过程可能需要的源代码。 - `kernel-devel`:对应当前运行内核的开发包,用于构建Oracle软件。 - `bc`:用于数学计算。 - `numactl`:内存管理工具,用于处理多处理器系统的...
Linux实践(四) 配置selinux
looeyWei的博客
09-12 283
测试环境 虚拟机VM14    系统:  Red Hat Enterprise Linux 7 64位 步骤 一、查看selinux配置文件 cat /etc/selinux/config 二、编辑该配置文件 vi /etc/selinux/config 将SELINUX=enforcing 三、重启系统并查看当前selinux状态详细信息 reboot sesta...
Linux环境下Oracle安装(图文详解)
Coeus_tz的博客
04-13 7266
Linux 环境Oracle 12c安装 Linux (CentOS 7.6 )下Oracle 12c 一系列安装 安装包下载 官网下载链接(需要登录) https://edelivery.oracle.com/osdc/faces/SoftwareDelivery 进入下载链接下载 选择下载按转包版本 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8KlSOkBb-1617981561367)(Oracle安装截图\2.png)] 进入下载队列 [外链图片
关于linuxoracle11g时 关闭了selinux重启遇到错误
sinat_41616917的博客
04-12 449
遇到这种错误 重启系统 按e键进入grep页面 按e进入编辑 添加selinux=0 (注不要有空格) 回车按b系统直接重启就好了
Oracle 11g SELinux原因启动失败的解决办法
kai27ks的专栏
09-16 1319
<br />OS:Oracle-Enterprise-R5-U2-Server-i386<br />Oracle:linux_x86_11gR1_database<br /><br />ERROR:<br />sqlplus: error while loading shared libraries: /u01/app/oracle/product/11.1.0/db_1/lib/libnnz11.so: cannot restore segment prot after reloc: Permission
禁用oracle sqlplus,selinux禁用了sqlplus等命令
weixin_29861235的博客
04-05 144
在虚拟机上成功安装了oracle 11g,感觉比10g的安装相比没多大变化,11g会提示安装所需的package,而在检测阶段发现还是有一部分package缺少,但是ignore后还是可以顺利安装的。不过安装软件和数据库后,却无法执行sqlplus等命令。[root@orcl11g ~]# su - oracle[oracle@orcl11g ~]$ sqlplus /nologsqlplus: ...
SElinux操作
yuchenxueyue的博客
09-10 754
SELinux是个经过安全强化的Linux操作系统,实际上,基本上原来的运用软件没有必要修改就能在它上面运行。真正做了特别修改的RPM包只要50 多个。像文件系统EXT3都是经过了扩展。对于一些原有的命令也进行了扩展,另外还增加了一些新的命令,接下来我们就来看看这些命令。 文件操作 1)ls命令 在命令后加个-Z 或者加 –context [root@python azureus]...
Linux资源的SELinux context详解
成长的足迹
06-30 5724
Linux操作系统的每个资源(如进程、文件描述符、文件、网络等),也被称为SELinux对象,都拥有一个特别的security label,也被称为SELinux label,或SELinux context,以表示该对象能够执行的permissions和operations。这是一个标识符,从Linux系统的细节抽象出,只聚焦于系统资源的安全属性。通过使用SELinux context,就可...
selinux-policy-3.13.1-268.el7_9.2.noarch
09-01
selinux-policy-3.13.1-268.el7_9.2.noarch 是一个SELinux策略软件包的版本。SELinux是一种安全增强的Linux内核模块,通过强制访问控制机制来提高操作系统的安全性能。 selinux-policy-3.13.1-268.el7_9.2.noarch ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值