【信息安全】SELinux

最新推荐文章于 2024-03-11 15:13:44 发布
最新推荐文章于 2024-03-11 15:13:44 发布
阅读量125 收藏
点赞数
文章标签: 操作系统

    SELinux 是安全增强了的Linux,是Security-enhanced Linux 的简写,SELinux 使用了分级的强制访问控制,是Linux 内核的重要安全措施;SELinux 改进了对内核对象和服务的访问控制,改进了对进程初始化、继承和程序执行的访问控制,改进了对文件系统、目录、文件和打开文件描述的访问控制,还改进了对端口、信息和网络接口的访问控制。

1. SELinux 的强制访问控制机制(MAC

SELinux 在内核中使用强制访问控制机制(MAC)检查允许的操作。SELinux MAC 访问控制框架中定义,所有的主体(进程)对系统的客体或目标对象(如:文件、设备、socket、端口等)进行操作,需要权限或许可。

2. SELinux 安全上下文

SELinux 中,访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户、角色和类型标识符。这里的类型标识符被用于强制访问控制规则的设置。

主客体的安全上下文的定义

SELinux 中,需要对主客体的安全上下文进行定义,不同类型的主客体定义的方式也不同。对于有唯一且永久的节点号的传统文件系统,SELinux 用永久的标识映射,通过fs_use_psid 命令来指定文件系统内的节点的安全上下文和文件系统本身的安全上下文。

#fs_use_psid ext2

#fs_use_psid ext3

#fs_use_psid reiserfs

对于不支持永久标识映射的文件系统,用genfscon 命令来指定文件系统或文件路径或文件的安全上下文。

#genfscon proc / system_u:object_r:proc_t

#genfscon proc /kmsg system_u:object_r;proc_kmsg-t

#genfscon /kcore system_u:object-r:proc_kcore_t

对于代表管道和socket 对象的伪文件系统,SE Linux 常指定创建进程的上下文给代表对象的节点。

这个行为用fs_use_task 来声明。

#fs_use_task pipefs system_u:object_r:fs_t

#fs_use_task sockfs system:object_r:fs_t

查看安全上下文

SELinux 系统中通过添加一个-Z 选项显示主体和客体的安全上下文:

ps -Z 显示进程(主体)的安全上下文

ls -Z 显示文件(客体)的安全上下文

3 SELinux 中的类型强制(TE:Type Enforcement

SELinux 中,不管用户UID 或者GID 是什么,所有访问都必须明确授权,SELinux 默认不允许任何访问。这就意味着在SELinux 中,没有默认的超级用户了,任何访问需要通过指定主体类型和客体类型,使用allow 规则来授予访问权限,allow 规则由四部分组成:

源类型(Source type(s) ) 通常是尝试访问的进程的域类型

目标类型(Target type(s) ) 被进程访问的客体的类型

客体类别(Object class(es)) 指定允许访问的客体的类型

许可(Permission(s)) 象征目标类型允许源类型访问客体类型的访问种类

语法格式如下:

allow Source type Target type Object class { Permission }

强制访问控制配置示例

假设我们允许进程(主体)passwd 命令可以读和执行/etc/shadow 文件,那么首先,需要知道主体和客体的类型。

查看主体的类型

# ps -aZ

joe:user_r:passwd_t 16532 pts/0 00:00:00 passwd

//从安全上下文的类型标识符中可以看到主体类型是passwd_t

查看客体文件的类型

#ls -Z /etc/shadow

-r---- root root system_u:object_r:shadow_t shadow

//从安全上下文的类型标识符中可以看到客体类型是shadow_t

根据主客体的类型配置访问规则

#allow passwd_t shadow_t : file {read execute getattr}

//拥有域类型passwd_t 的进程(主体)可以读/执行具有shadow_t 类型的文件(客体),可以获取具有shadow_t 类型的客体文件的属性

4. SELinux 中的多层安全MLS

类型强制(TE)无疑是SELinux 引入的最重要的强制访问控制(MAC)机制,然而,在某些情况下,对于保密控制应用程序的一个子集,传统的多层安全(MLSMAC 与类型强制(TE)一起使用显得更有价值,在这些情况下,SELinux MLS 特性是可选的,作为SELinux 的两个MAC 机制中的一个,它通常不是最重要的那个,对大多数安全应用程序而言,包括许多非保密数据应用程序,类型强制是最适合的安全增强的机制,对于一些涉密的数据,MLS 相比于TE 对应用程序还是增强了更多的安全性。

---------------------------------
kingsql分享
hongzhuohui@kingsql.com
转载请注明出处

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/28389881/viewspace-1266656/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/28389881/viewspace-1266656/

cuishitan3439
关注
Android Selinux权限之genfscon
weixin_44021334的博客
03-18 1387
genfscon标签相关说明参考我的理解,genfscon 用于给设备节点打标签。说人话:它可以改变设备类型,如把某一个节点从 u:object_r:sysfs:s0 改为 u:object_r:sysfs_dev:s0。举个例子。在读写设备节点时,碰到了 Selinux 权限问题,根据 log 添加了,编译后触发了neverallow报错。不过CTS认证的话,可以根据编译报错直接修改 system/sepolicy/ 目录的文件。因为要过CTS认证,。所以另寻他法,就用到了genfscon。
SEAndroid策略
移动编程
05-21 651
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
SELinux 学习总结
eo_rsgfd的博客
02-02 2286
什么是SELinux SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上 SELinux 基本架构与原理. SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查
Android Selinux详解[三]--新增设备节点标签相关
最新发布
weixin_41028555的博客
03-11 1396
上个章节说了在file_context中也可以新增节点,但可能会出现标签无法生效的情况,这种情况下就需要在genfs_contexts中去新增设备节点相关的标签了,因为在genfs_contexts中打的标签,系统会自动执行restorecon命令,而在file_contexts中新增设备节点标签,是需要代码或者手动执行restorecon命令才会生效的。
SELinux策略配置语言
miroku_it的专栏
01-02 7536
http://book.csdn.net/bookfiles/574/10057418866.shtml3.2  SELinux策略配置语言策略是一套指导SELinux安全引擎计算安全决策的规则,它定义了文件客体的类型、进程的域、使用限制进入域的角色及访问许可的规则表达式等。策略的源代码用SELinux配置语言进行描述。3.2.1  基本概念1.主体和客体主体(subject)
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册提供了详细的 SELinux 介绍、架构、组件、工具和命令等信息,为用户提供了深入的 SELinux 知识和实践经验。 SELinux 是一种功能强大且灵活的安全机制,能够提高系统的安全性、稳定性和可靠性。它广泛...
超root安全selinux
02-03
**超root安全:深入理解与应用SELinux** SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高Linux操作系统的安全性。它通过精细的权限控制,限制了系统中每...
操作系统安全:selinux自启动.docx
06-01
操作系统安全是IT领域中至关重要的一个方面,而SELinux(Security-Enhanced Linux)作为一种强制访问控制机制,为Linux系统提供了更为严密的安全保障。本文主要介绍SELinux的工作方式、模式以及如何实现自启动。 ...
SELinux安全策略和探释.pdf
10-18
为了确保信息安全,各种措施和技术被广泛应用,其中包括操作系统层面的安全增强技术。SELinux(Security-Enhanced Linux)作为一种由美国国家安全局(NSA)开发的安全子系统,旨在提供更强大的安全防护机制。本文将...
selinux实现为linux安全模块报告
12-28
- **多级安全(MLS)**: 在SELinux中,可以实现多级安全模型,确保信息只能流向安全级别相同或更低的对象。 3. **与原始SELinux内核补丁的变更** - **间接层的增加**: 为了提高灵活性,引入了一层新的间接性,...
深入理解SELinux SEAndroid之二
热门推荐
Innost的专栏
02-21 7万+
接第一部分的内容(http://blog.csdn.net/innost/article/details/19299937)。今天公司年会,哥高兴,所以发布第二部。SELinux/SEAndroid一共分三部分。第一和第二部分是SELinux的基础知识,第三部分是SEAndroid的工作源码分析。        深入理解SELinux/SEAndroid 第二部分3)  File/File Sys
Android开机速度优化 Android 开机时间优化
capeng的专栏
03-11 7744
本文转自谷歌 Android开发者官网 要优化开机时间。首要的是了解Android 的整个启动过程。下图是谷歌提供的一张开机启动流程图: 开机的具体流程分析,后续会有专门文章说明。这里不再详述说。从上图可以看出。开机启动主要分为了 uboot 启动 kernel 启动 然后是system启动。uboot的启动时间几乎很短,优化的难度大且危险性较高。不建议进行优化。下面...
linux中704代表什么权限,selinux原理介绍
weixin_32715349的博客
05-07 332
Selinux介绍作者:浪迹天涯1、Selinux简介2、标准Linux的不足3、标准Linux的setuid程序4、Selinux原理5、Selinux特点6、Selinux运行机制7、Selinux基本概念8、Selinux的类型强制示例9、域转变示例10、Selinux基本配置一、Selinux简介1、Selinux定义SELinux全称SecurityEnhancedLinux,由美国...
SELinux LOG分析及添加权限
w2064004678的博客
04-16 1732
adb修改selinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前selinux状态 setenforce 1; //打开selinux setenforce 0; //关闭selinux 从kernel中彻底关闭 修改/linux/android/kernel/arch/arm64/configs/xxx_...
Selinux小结
~山之歌~
11-30 1万+
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言    3 1、安全属性——SContext    3 2、TE简介    4 1). 客体类别和许可:    4 2). 访问向量规则:    5 3). AV规则    5 四、SElinux策略文件
深入理解SELinux SEAndroid
LoongEmbedded的专栏
03-10 5730
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SELinux SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Lin
SeLinux权限配置心得总结
u013357557的专栏
02-20 4934
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
android系统优化启动时间(Google官方推荐)
gx_tiger的专栏
04-22 1217
原文链接:https://source.android.com/devices/tech/perf/boot-times 本文档提供了有关改进特定 Android 设备的启动时间的合作伙伴指南。启动时间是系统性能的重要组成部分,因为用户必须等待启动完成后才能使用设备。对于较常进行冷启动的汽车等设备而言,较短的启动时间至关重要(没有人喜欢在等待几十秒后才能输入导航目的地)。 Android 8.0 支持一系列组件的多项改进,因而可以缩短启动时间。下表对这些性能改进(在 Google Pixel 和 Pi.
Android SELinux:安全强化与应用策略详解
宽容模式允许权限拒绝事件被记录而不强制执行,这对于开发过程中的调试很有帮助,可以收集错误信息以便优化软件和安全策略。然而,一旦软件经过测试和优化,通常会选择切换到强制模式,此时任何未经授权的操作都将被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值