selinux概括总结

最新推荐文章于 2023-11-13 18:09:52 发布
最新推荐文章于 2023-11-13 18:09:52 发布
阅读量156 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/118027637
版权

selinux是利用lsm劫持程序的行为的mac访问审计方式,具体实现原理这里不讨论。

核心原理就是主客体通过策略规则限定程序访问范围。

安全上下文是整个安全机制的重要概念,分为用户,角色,类型和级别:

1、用户(user)

unconfiged_u:不受限用户
system_u:系统进程

在 targeted policy 中 users 不是很重要;
在strict policy 中比较重要,所有预设的 SELinux Users 都是以 “_u” 结尾的,root 除外。

2、角色(role)

Object_r:代表文件或目录等文件资源
system_r:代表进程
个人理解这个主要是用来识别主客体的。

3、类型

文件资源成为类型(type)
进程称为域(domain)

这两个属性相互对应才能获取资源

4、等级

类型强制(TE)访问控制

 • 源类型(Source type(s) ) 通常是尝试访问的进程的域类型
 • 目标类型(Target type(s) ) 被进程访问的客体的类型
 • 客体类别(Object class(es)) 指定允许访问的客体的类型
 • 许可(Permission(s)) 象征目标类型允许源类型访问客体类型的访问种类

allow user_t bin_t : file {read execute getattr};

目标类型是一个集合,客体类别指定其中的某些项,许可就是访问方式。

资源类型随意定义是优势也是难点,很容易造成混乱。

inquisiter
关注
专栏目录
Linux知识概括
weixin_41005188的博客
09-05 1380
Linux知识概括一级目录 一级目录
Jenkins知识概括
weixin_41005188的博客
01-04 986
软件开发生命周期又叫做SDLC(Software Development Life Cycle),它是集合了计划、开发、测试和部署过程的集合。这是生命周期的第一阶段,根据项目需求,团队执行一个可行性计划的分析。项目需求可能是公司内部或者客户提出的。这阶段主要是对信息的收集,也有可能是对现有项目的改善和重新做一个新的项目。还要分析项目的预算多长,可以从哪方面受益及布局,这也是项目创建的目标。第二阶段就是设计阶段,系统架构和满意状态(就是要做成什么样子,有什么功能),和创建一个项目计划。
linux系统之audit审计
liuxe1990的博客
04-23 870
什么是审计 审计案例 部署audit [root@sheji57 ~]# yum -y install audit [root@sheji57 ~]# systemctl start auditd [root@sheji57 ~]# systemctl enable auditd 定义临时规则 [root@sheji57 ~]# auditctl -w /etc/passwd -p wa...
SElinux详解
weixin_34240657的博客
06-22 121
SELinux :全称:Security Enhanceed Linux,字面上的意思是强化安全的Linux系统。实际上SELinux设计的目标是为了避免资源的误用,SELinux是在进行程序,文件权限设置的过程中依据的一个内核模块,同时也是能够控制网络服务能付访问资源的一个关卡。传统的文件权限与账号的关系是自主访问控制的,即DAC,是根据对于文件的rwx控制文件被访问的权限...
SELinux 学习总结
eo_rsgfd的博客
02-02 2266
什么是SELinux SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上 SELinux 基本架构与原理. SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查
智能终端信息安全概念(十):内核安全(2)SElinux
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-30 1633
SELinux由NSA发布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究团队都为SELinux的发展做出了重要的贡献。,可在Linux系统中配置其状态。SELinux的状态分为3种,即disabled、permissive和enforcing。
linux lsm框架(selinux
最新发布
weixin_43453149的博客
11-13 714
LSM 是(Linux Security Module)的简称,它是Linux 从2.6 内核版本开始增加的一个通用的访问控制框架。LSM 是一个轻量的通用访问控制框架,它必须满足两方面的要求:对不需要它的人保持透明;让需要它的人从内核代码中解放出来,专注于控制策略和安全模块。所以LSM 在设计之初,就明确了其原则:(1)真正的通用性,使用不同的安全模型仅仅通过加载不同的内核模块实现,而不用改变已有的内核代码。
Linux系统安全:防火墙、SELinux与加密技术
本文将介绍Linux系统安全的关键技术:防火墙、SELinux与加密技术,帮助管理员更好地了解和应用这些技术来保护系统安全。 ## 1.2 目的与重要性 本文旨在系统地介绍Linux系统安全的关键技术,包括防火墙、SELinux和...
LINUX性能调优方法总结
01-06
这份名为“LINUX性能调优方法总结”的文档,很可能包含了一系列关于如何优化Linux系统性能的技术和策略。以下是根据标题和描述可能涵盖的一些主要知识点: 1. **系统监控工具**:了解并使用如`top`, `htop`, `...
Docker实践总结
03-19 3304
Docker实践总结 Docker是一种新的技术,尽管它的发行日期已是好几年前。概括来说,Docker是一个开源的应用容器引擎,常被用来和虚拟机做对比,它让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。对的,虚拟机也可以实现这种需求,但装系统,装配置环境,占用内存大等缺点让Dockers大放光彩。当然,也有人对这种...
selinux 学习笔记一(LSM在kernel中的实现)
weixin_34273046的博客
03-20 2909
LSM(linux security module)作为一个单独模块,通过在kernel编译过程中的编译flag:CONFIG_SECURITY 控制是否启用该模块中定义的安全相关的功能。具体配置信息见:kernel/linux-4.9/security/Kconfig 当在编译阶段打开该配置开关,kernel中的用于管理各个进程的task_struct对象会增加一个安全相关的引用。如下所示: k...
linux lsm 程序加载钩函数,selinux 学习笔记一(LSM在kernel中的实现)
weixin_33251169的博客
05-02 505
LSM(linux security module)作为一个单独模块,通过在kernel编译过程中的编译flag:CONFIG_SECURITY 控制是否启用该模块中定义的安全相关的功能。具体配置信息见:kernel/linux-4.9/security/Kconfig当在编译阶段打开该配置开关,kernel中的用于管理各个进程的task_struct对象会增加一个安全相关的引用。如下所示:ker...
LSM(Linux Security Modules)框架原理解析
热门推荐
pwl999的博客
07-01 1万+
1. 基本原理 LSM是内核安全模块的一套框架,本质是插桩法。它的主要有两个特点: 1、在内核安全相关的关键路径上插入了Hook点: 内核安全相关的关键对象有:task_struct(任务和进程)、linux_binprm(程序)、super_block(文件系统)、inode(管道、文件或者 socket套接字)、file (打开的文件)、sk_buff(网络缓冲区)、net_device(网络设备)、ker_ipc_perm(Semaphore消息,共享内存段,消息队列)、msg_msg(单个消息)
Linux系统的安全模块Selinux总结
yolo_yyh的博客
11-15 2553
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这篇文章可以帮助大家如何定位selinux权限问题。
开启SELINUX真的就那么难吗?
alfiy的专栏
12-25 1705
我们都知道Linux的安全性要高于windows,可是你明白Linux到底比windows的安全性高在哪里吗?有人在部署环境的时候,开局两件事关防火墙、关Selinux,请问你把Linux的这两大重器都给关掉了,安全性的问题从何而言? 作为一名已经有了5年经验以上的老程序员的你可能会说,关防火墙关Selinux也不能怪我啊,当时我的师傅都是这么教我的啊。的确,现在各培训机构,网上的大量的“你抄我我抄你”教程中存在上来就关防火墙关se的问题,作为一名45岁仍在一线写程序的老哥是时候出来发表点看法了。 授人以
从【SELINUX】策略中学习【LSM】编写规则
WSRspirit的专栏
05-20 4387
最近涉及到了LSM的编写,在网上基本上搜不到关于LSM的
selinux学习
weixin_30436101的博客
02-20 869
一、基本概念 1、TE模型的安全上下文 所有的操作系统访问控制都基于主体、客体,以及与他们相关的访问控制属性。 在selinux中,访问控制属性叫做安全上下文。所有对象(文件、进程间通信通道、套接字、网络主机等)和主体(进程)都有一个与之关联的安全上下文。 一个安全上下文包含三个元素:用户(user)、角色(role)和类型标识符(type identifiers) 安全上下文...
selinux= 为 disabled_理解Linux下的SELinux
weixin_39631316的博客
11-26 3452
理解Linux下的SELinux长久以来,每当遇到授权问题或者新安装的主机,我的第一反应是通过setenforce 0命令禁用SELinux,来减少产生的权限问题,但是这并不是一个良好的习惯。这篇文章尝试对SELinux的基本概念和用法进行简单介绍,并且提供一些更深入的资料。Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Li...
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统中,Security Enhanced Linux(SELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值