SELinux快速入门

已于 2024-12-12 16:39:14 修改
阅读量1k 收藏 20
点赞数 12
文章标签: linux 运维
于 2024-11-22 09:05:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chong_lai/article/details/143960883
版权

本文大量参考了 Gentoo Linux 文档中与 SELinux 相关的 wiki

SELinux 安全子系统是对基于 UNIX 权限位的 Linux 常规访问控制的补充,不同于常规访问控制,SELinux 提供的访问控制更加安全但同时也更加难以维护。SELinux 灵活且复杂,但它的工作原理其实很简单,我们将逐步深入,介绍 SELinux 支持的各种功能。

访问控制与SELinux上下文

为了说明 SELinux 到底是如何进行访问控制的,让我们来假设这样一个使用场景:现在有一名已登录的用户,向 shell 进程发送指令,要求 shell 进程读取一个文件 File。那么,SELinux 现在需要判断 shell 进程是否有权限读取文件 File。

SELinux 进行判断的依据非常简单。首先,无论是进程还是文件,SELinux 都会维护它们的”标签“,比如说 shell 进程的”标签“是 user_t,而文件 File 的”标签“是 lib_t,然后根据它们两个的标签, SELinux 将在规则集合中寻找相应的条目,如果找到的条目为 allow,即允许访问,那么 SELinux 将放行此次访问,否则拒绝。

这就是 SELinux 的工作原理:基于”标签“来查找匹配的规则。

给”标签“打上双引号是因为这只是方便读者理解原理而使用的名字,它的正式称呼是 SELinux 上下文。另外,我们所述的 user_t 并不是完整的 SELinux 上下文。完整的 SELinux 上下文由以下3个部分组成(有时是4个部分):

  1. 第一部分是 SELinux 用户
  2. 其次是 SELinux 角色
  3. 接下来是 SELinux 类型
  4. 最后是可选部分,表示敏感度级别

比如说,一个文件的 SELinux 上下文可能会是这样的:system_u:object_r:lib_t:s0system_u表示 SELinux 用户,object_r表示 SELinux 角色,lib_t是 SELinux 类型,最后的s0则表示敏感度级别。

或许你已经注意到,SELinux 用户、角色、类别都有一个后缀,这只是一个命名惯例。在 SELinux 世界中,基本上可以认为,带有_u后缀的名字是在指代 SELinux 用户,带有_r后缀的名字是在指代 SELinux 角色,带有_t后缀的名字在指代 SELinux 类型。我们接下来讨论 SELinux 也会不时运用这些命名惯例,所以当你看到_t后缀的名字但没说明它是什么的时候,请不要惊讶。

每个进程和文件都有各自的上下文,在启用了 SELinux 的系统上,如果想要查看文件或进程的 SELinux 上下文,请在调用相关命令时添加-Z参数,比如ls -Z可以显示文件的上下文,ps -Z可以显示进程的上下文。

SELinux 使用每个字段来决定对访问的控制,我们将逐步介绍 SELinux 上下文中这些字段的具体作用。但实际上大多数规则都是围绕着 SELinux 类型来制定的,从这个角度出发,我们决定先介绍 SELinux 上下文中最重要的信息: SELinux 类型。

类型强制规则

类型强制(Type Enforcement,简称TE)基于 SELinux 上下文中的 SELinux 类型。TE 模型是 SELinux 发挥作用的基石,构成了绝大多数 SELinux 策略。

TE 模型规则的底层逻辑可以归结为三个单词组成的句子:“Subject-Access-Object”,即“主体-操作-客体”。

在 SELinux 中,主体(Subject)指的是进程。操作(Access)指代的是一系列动作,比如 read、write、ioctl 等系统调用。客体(Object)指的是操作适用的系统资源,包括文件、进程、socket 等,客体是被动的,不会主动执行任何操作——当它主动执行任何操作时它就成为了主体。

进程既可以成为主体,也可以作为客体,比如,一个进程向另一个进程发送终止信号时,进程就既是主体也是客体。

规则底层逻辑的这三个要素体现在了具体的规则中。一个典型的 TE 规则的形式如下所示:

kind source target:class permissions;
  • kind——有几种选项,常用的是 allow、neverallow 和 dontaudit。allow 表示允许;neverallow 表示不允许;dontaudit 表示出现对应违规项后静默,不输出任何拒绝日志
  • source——规则的主体的类型。“谁在请求访问”
  • target——客体的类型。“请求访问什么”
  • class——类别。正在访问的客体(file、 socket、process 等)的类别
  • permissions——正在执行的操作(或一组操作)(例如,read、write)

一个实际的示例如下:

allow user_t bin_t:file { read write };

上面的规则的含义是:允许类型为 user_t 的进程,读取或写入,类型为 bin_t 而且类别(class)为 file 的客体。

需要注意的是,由于主体和

最低0.47元/天 解锁文章
kigumi
关注
SELinux入门
谢公子的博客
09-12 1693
目录 SELinux SElinux的前世今生 SELinux的模式 安全属性 SELinux SELinux(Security-Enhanced Linux)是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源...
Linuxselinux基础配置教程详解
09-15
SELinux(Security-Enhanced Linux)的简单配置,涉及SELinux的工作模式、配置文件修改、查看和修改上下文信息,以及恢复文件或目录的上下文信息。这篇文章主要介绍了Linuxselinux基础配置,需要的朋友可以参考下
SELinux入门教程
上善若水 的专栏
08-31 6275
1. 介绍 这份文档是一个SE Linux的简介,可以指导一部分人初步的学会SE Linux。它涵盖和解释了SE Linux 的各方面的术语,安装和添加用户并且涵盖了一小部分别的知识。一个更高级的帮助文档将会在不久发布(译者注:正在翻译中), 包 含了如何编辑策略等内容。(which causes a little too much information overload with use
selinux中文教程
10-06
这份文档是一个SE Linux的简介,可以指导一部分人初步的学会SE Linux。它 涵盖和解释了SE Linux 的各方面的术语,安装和添加用户并且涵盖了一小部分 别的知识。一个更高级的帮助文档将会在不久发布, 包含了如何编辑策略等内容。
知晓 linuxselinux 是什么
weixin_41759152的博客
11-23 663
一、前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。 如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可以到达"
selinux入门教程
weixin_34362875的博客
03-16 199
selinux入门教程 ...
【安全利器SELinux快速入门系列 | 01】SELinux基础入门
机器未来的博客
07-22 2736
在智能驾驶越来越普及的今天,如何保证车载设备的安全,如何保证分配的权限是最合适的,不会出现越权访问?如何保证对外接口访问用户的权限是高度可控的?在应用程序被攻击后,如何保证黑客不能拿到超越进程的权限? 来看看selinux如何解决这个问题。.....................
【安全利器SELinux快速入门系列 01】SELinux基础入门_selinux书(1)
2401_84185951的博客
05-06 1062
进程的主体是进程,客体是被访问的资源。MAC机制的特点在于,资源的拥有者,并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。4MAC强制访问控制的流程大致是上图所示,分为3个步骤主体程序必须要通过 SELinux 政策内的规则放行后,就可以与目标资源进行安全性本文的比对;若比对失败则无法存取目标,若比对成功则可以开始存取目标。最终能否存取目标还是与文件系统的 rwx 权限设置有关。
【安全利器SELinux快速入门系列 01】SELinux基础入门_selinux
kenzsoft的博客
05-06 1031
进程的主体是进程,客体是被访问的资源。MAC机制的特点在于,资源的拥有者,并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。4MAC强制访问控制的流程大致是上图所示,分为3个步骤主体程序必须要通过 SELinux 政策内的规则放行后,就可以与目标资源进行安全性本文的比对;若比对失败则无法存取目标,若比对成功则可以开始存取目标。最终能否存取目标还是与文件系统的 rwx 权限设置有关。
SELinux的安装以及使用教程
最新发布
qq_61883924的博客
07-24 1465
重启之后这个selinux服务都关闭了,所以无法通过setenforce切换模式和通过getenforce查看状况,但是可以修改/etc/selinux/config为permissive然后重启,重启电脑按ESC键,进入GRUB菜单,选择Ubuntu 按e进入编辑模式 在linux那一行末尾加上selinux=0禁用selinux,然后按ctrl+X重启进入系统。查看文件的SELinux上下文,可以使用。查看进程的SELinux上下文,可以使用。修改完之后保存,并且重启电脑。查看用户root的上下文。
selinux中文手册和详细解说
11-15
中文selinux手册和selinux详细解说,非常适合入门学习,很受用。
linux教程从0到精通,SELinux入门到精通教程
weixin_39522408的博客
05-08 326
一、介绍1.官方意思SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的...
selinux通俗教程1-快速了解context
黑马程序员官方博客
02-13 952
接触过linux的人都听说过selinux这个词。从rhel6系统后,装系统时默认就必须打开selinux,但很多老手却是建议装完系统后关闭它,原因是它太麻烦了。selinux就是一把双刃剑,虽然很安全,却让管理员自己都到处碰壁。这里我尽量不用专业的术语让有一定linux基础的同学能够使用selinux,而不是关闭selinux。 那selinux到底是什么? 答: 首先,它不是防火墙。你可以...
SELinux详解
热门推荐
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
Linux学习教程(第十八章 SELinux管理)
sinat_41942180的博客
12-26 975
Linux是一个开源免费、可以自由传播和修改的操作系统。
SELinux教程:命令与管理
weixin_34279579的博客
02-17 151
http://linux.itwaka.com 当你考虑在服务器上使用SELinux时,了解一些基本命令和管理工具会有所帮助。本文是三本SELinux教程的一部分,在这里,我们将提供一些命令来帮助你确保Linux服务器的安全。 功能 ...
selinux的使用
weixin_46097869的博客
02-25 316
selinux 1.selinux简介 SELinux: Secure Enhanced Linux, 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中。 在linux 中有两种...
新手上路:学会使用SELinux保护你的系统
weixin_43945111的博客
10-21 1889
Selinux的基本使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值