SElinux学习总结

最新推荐文章于 2022-03-21 09:28:47 发布
最新推荐文章于 2022-03-21 09:28:47 发布
阅读量224 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnlb/article/details/102790614
版权

文章目录

概念

SELinux:【Security-Enhanced Linux】安全增强式Linux,是一个Linux内核的安全模块,其提供了访问控制安全策略机制。SELinux是可保护你系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限标签 ( 控制哪些用户对哪些文件具有哪些访问权 SELinux 的另一个不同之处在于,若要访问文件,你必须具有普通访问权限和 SELinux 访问权限。因此,即使以超级用户身份 root 运行进程,根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 )。

SELinux模式

  1. SELinx支持3种模式
    • Enforcing:强制模式,表示Selinux正在运行中,且已按照正确规则进行限制;
    • Permissing: 宽容模式,表示Selinux正在运行中,会有警告信息但并不限制domain/type的访问。
    • Disable: 关闭模式,表示Selinux没有运行。
  2. 切换模式方式
getenforce			#SELinux的状态可以通过此命令查看

setenforce 0|1		#在开启状态下,切换强制和宽容模式
setenforce 0 		#宽容模式Permissing
setenforce 1		#强制模式Enforcing

vim /etc/vim /etc/sysconfig/selinux
SELINUX=enforcing|permissive|disabled
#修改配置文件,设置启动后模式
#注:配置文件生效,必须重启系统

安全上下文

  1. 概念
    1. 安全上下文:是针对程序访问文件设置的一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),”域”和”域类型”意思都一样,即都是安全上下文中的“TYPE”。
    2. 作用: 访问的凭证,特定的文件被特定的程序访问,会关闭系统认为不安全的所有功能
  2. 显示安全上下文
ls -Z 						#显示安全上下文
semanage fcontext -l		#查询安全上下文列表,但是需要'|grep'在列表中找出文件
  1. 修改安全上下文
  • 临时修改
    消除临时效果是需要selinux重启而不是系统重启
    SELinux重启的意思是enforcing启动机器一次,再改为disable启动机器一次
chcon命令					#修改对象(文件)的安全上下文
chcon [选项]... [-u 用户] [-r 角色] [-l 范围] [-t 类型] 文件... 
-h, --no-dereference		#影响符号连接而非引用的文件
    --reference=参考文件	#使用指定参考文件的安全环境,而非指定值
-R, --recursive				#递归处理所有的文件及子目录
-v, --verbose				#为处理的所有文件显示诊断信息
-u, --user=用户				#设置指定用户
-r, --role=角色				#设置指定角色
-t, --type=类型				#设置指定类型
-l, --range=范围			#设置指定范围

chcon -t public_content_t /testdir/filetest1
#改变/testdir/目录下的filetest1文件的安全上下文为public_content_t
  • 永久修改
semanage fcontext 命令				#用来查询与修改SELinux默认目录的安全上下文
semanage fcontext [选项] 文件路径 
-l			#查询安全上下文列表
-a			#增加一些目录的默认安全上下文类型到列表中
-d			#删除设置

semanage fcontext -l | grep '/testdir(/.*)?'
#在显示列表中查看是否有/testdir路径文件安全上下文设置
#/testdir(/.*)?格式表示testdir目录及目录下所有文件
semanage fcontext -a -t public_content_t '/westosdir(/.*)?'
#添加相应规则到安全上下文列表
semanage fcontext -d '/westosdir(/.*)?'
#删除列表中相应规则

布尔值

  1. SElinux布尔值:是针对服务程序功能设置的,是更改 SELinux 策略行为的开关。 SELinux 布尔值是可以启用或禁用的规则。安全管理员可以使 SELinux 布尔值来调整策略 , 以有选择地进行调整。
  2. 显示布尔值
getsebool [-a] [布尔值条款]
-a			#列出目前系统上面的所有布尔值条款设置为开启或关闭值

[root@station ~]# getsebool -a |grep ftp
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_home_dir --> off
#显示所有布尔值条款设置中名字与ftp相关的
[root@station ~]# getsebool ftpd_anon_write
ftpd_anon_write --> off
#显示ftp匿名用户写权限开关情况
  1. 修改布尔值
setsebool [-P] 布尔值条款=[0|1]|[off|on]
-P				#直接将设置值写入配置文件,永久保留,0是关闭  1是开启

setsebool -P ftpd_anon_write on
setsebool -P ftpd_anon_write=1
#打开匿名上传功能selinux控制开关

例子

ftp服务匿名用户安全上下文设置

vim /etc/vsftpd/vsftpd.conf 
systemctl restart vsftpd.service 
chgrp ftp /var/ftp/pub/
chmod 775 /var/ftp/pub/
#设置匿名用户上传功能
semanage fcontext -l |grep public_content
semanage fcontext -a -t public_content_rw_t "/var/ftp/pub(/.*)?"
restorecon -RvvF /var/ftp/pub
ls -Zd /var/ftp/pub/
#设置匿名用户安全上下文列表
getsebool -a |grep ftp
setsebool -P ftpd_anon_write on
#打开匿名上传功能selinux控制开关

监控SELinux冲突

  1. 必须安装 setroubleshoot-server 软件包 , 才能将 SELinux 消息发送至 /var/log/messages
  2. setroubleshoot-server服务负责侦听 /var/log/audit/audit.log 中的审核信息并将简短摘要发送至/var/log/messages
csdnlb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Linux] SELinux基础学习
FightFightFight的博客
08-14 1105
1.什么是SELinxu? SELinux(Security-Enhanced Linux),安全增强型Linux,最初是由犹他大学Flux团队和美国国防部开发的Flux高级安全内核(FLASK)开发的是由NSA开发的一种访问控制体系。NSA对该开发进行了改进,并作为开源软件发布,目前SELinux已集成到Linux2.6内核系列和几个Linux发行版中,作为Linux内核中主要的强制访问控制(...
selinux命令行使用初步总结
liying96的博客
08-25 967
SELinux的策略与规则管理相关命令1.seinfo(1)seinfo -useinfo -uXXX -x(2)seinfo -rseinfo -rXXX_t -x(3)seinfo -tXXX_t -x(4)seinfo -b2.sesearchsesearch [-A/--allow/...] -s [name] -t[name]3.semanageimportexportloginsema...
知晓 linux中 selinux 是什么
weixin_41759152的博客
11-23 607
一、前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。 如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可以到达"
selinux学习
weixin_30436101的博客
02-20 841
一、基本概念 1、TE模型的安全上下文 所有的操作系统访问控制都基于主体、客体,以及与他们相关的访问控制属性。 在selinux中,访问控制属性叫做安全上下文。所有对象(文件、进程间通信通道、套接字、网络主机等)和主体(进程)都有一个与之关联的安全上下文。 一个安全上下文包含三个元素:用户(user)、角色(role)和类型标识符(type identifiers) 安全上下文...
SELinux学习
xinyuan的专栏
05-11 403
一、SELinux简介 SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。 SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中,因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。 现在主流发现的Linux版本里面都集成了SELinux
SELinux学习(一)
知了112的专栏
09-12 947
SELinux介绍:  http://www.360doc.com/content/10/1231/14/3688062_82917178.shtml SELinux Android介绍:http://blog.csdn.net/l173864930/article/details/17194899 SElinux Android介绍二:  http://blog.csdn.net/i
selinux学习资料 知乎
最新发布
09-18
以下是一些关于SELinux学习资料的知乎问题和回答的总结: 1. 有哪些关于SELinux的好书可以推荐? - 有网友推荐了《SELinux宝典》,这本书详细介绍了SELinux的概念、原理和配置方法。 - 还有人推荐了《SELinux原理...
关闭selinux.docx
03-16
总结来说,关闭 SELinux 是一种权衡,牺牲了额外的安全保护以换取应用程序的兼容性和易用性。然而,对于生产环境,保持 SELinux 开启并妥善配置是最佳实践,以保护系统免受潜在威胁。对于初学者,建议在学习和理解 ...
selinux_详解.zip
08-09
总结来说,SELinux是一种强大的安全机制,通过细粒度的访问控制和策略定制,极大地提高了Linux系统的安全性。尽管存在学习曲线,但其提供的保护对于许多组织来说是值得投入的。了解并熟练掌握SELinux的使用,对于...
selinux简明学习指南
12-05
国内相关的资料不多,而且大多是一些简单的命令介绍,最详细的是harrytaurus2002 写的SELinux学习笔记,2012-02-14 版本有 444 页,够多的。本书肯定没有SELinux学习笔记的详尽,可理解为就是一个精简版。文章会分开好几部分,可通过SELinux TAG查询。
selinux学习笔记
weixin_34050427的博客
11-22 213
SElinux(SecurityExtendlinux) RedhatEnterprise5支持内核实施的一项新的安全策略:SElinuxSElinux是由美国国防部让安全局针对计算机基础结构开发的,SElinux允许管理员定义高度灵活的策略,让linux内核把它作为日常操作的一部。 SElinux将每个程序都编入到SElinux域内,同时将每个资源放在S...
Selinux 总结
Android 系统开发
02-23 402
Selinux 总结 总结 1.Selinux  是MAC(强制访问控制)的一种实现方式。 2.Selinux 有两种模式     Enforcing模式,强制模式。不符合selinux要求的访问,将会被阻止      Permissive模式 ,宽容模式。 宽容模式下,会记录没有权限的访问,但是不会阻止。   Android5.0 系统,默认使用的 Permissive模式。 从An...
selinux 总结
Android 系统开发
09-04 284
1.seapp_contexts 用途 user=system seinfo=platform name=com.android.car domain=carservice_app type=system_app_data_file 用于限定app的运行doamin ,如上,如果不在seapp_contexts 里添加上述代码。将会运行在 system_app 域, 导致访问文件的权限过大。 可以通过上述的方案,使其运行在carservice_app 域中 。 不用再file_contexts 里边
SELinux总结
11-01 829
参考百度百科: SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统; SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead
SELinux学习笔记
tfel-ypoc
06-23 327
简介 SELinux的目的是控制 Subject( 程序 ) 访问 Object( 文件 ). 管控流程 Subject发起对Object的访问请求, SELinux根据其策略( targeted / mls / minimum )设定, 验证Subject和Object的安全性环境( Security Context ), 验证通过, 允许访问, 验证失败, 访问拒绝. 注:[^国内Securi...
SELinux 学习总结
eo_rsgfd的博客
02-02 2198
什么是SELinux SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上 SELinux 基本架构与原理. SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查
SELinux入门
qq_38483583的博客
03-21 290
如果你在之前的Linux生涯中都禁用或忽略了SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的Linux桌面或服务器之下的SELinux系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 回到Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为Linux内核子系统引入了一个健壮的强制控制访问Mandat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值