SELinux的学习笔记 - 基础知识篇

最新推荐文章于 2024-05-28 18:07:49 发布
最新推荐文章于 2024-05-28 18:07:49 发布
阅读量485 收藏
点赞数
分类专栏: UNIX/LINUX 学习心得 RHCE 考试准备 文章标签: system object security user bash linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flagonxia/article/details/6085948
版权

基础知识篇

1. SELinux(Security Enhanced Linux)的三种模式

a. Enforcing (强制模式):默认的模式,按照Selinux的策略来进行验证和管理系统安全。如果发现和Selinux的规定不
相符合则强制阻止程序的运行或者访问,同时给出提示

 

b. Permissive (允许模式):系统记录所有违反策略的行为并给与一定的提示,同时不中阻止程序的运行

 

c.  Disabled (禁用模式):关闭SELinux。

 

1.1 针对模式的操作

a) getenforce:     得到SELinux的当前模式。

b) setenforce X: 设置SELinux的模式,X: 0~Permissive;1~Enforcing。

 

2. 安全环境

2.1 所有文件和进程都具备“安全环境”(security context)

      对于SELinux来说,任何事都是一个对象,且对它们的访问由保存在节点扩展属性区域的安全因素控制的。总的来说,这些因素就是安全环境。目前有五种安全因素。

2.2 环境根据安全需要有几种元素

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

user:role:type:sensitivity:category

a) user:登录在系统上的用户的类型。root的用户类型就是root;其他用户的类型是user_u。

b) role: 定义某个文件、进程、或用户的作用。文件的角色是object_r,进程的角色是system_r,用户的角色也是system_r。

c)  type:被“类型强制”用来指定文件或进程中的数据的性质。策略中的规则表明哪个进程类型可以使用哪个文件类型。

d) sensitivity: 有时被政府机关使用的安全级别。

e) category: 和组群相似,但是能够阻止root存取机密数据。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

2.3 查看文件的安全环境

<Fodora 9.0>

 [root@patrick ~]# ls -Zd /etc /etc/hosts
drwxr-xr-x  root root system_u:object_r:etc_t:s0       /etc
-rw-r--r--  root root system_u:object_r:etc_t:s0          /etc/hosts

 

注意:这里user的值为system_u,也就是root。一般,文件继承目录的安全环境(security context)。

 

也有例外,有些文件会因附加的安全性而获得独特的安全环境,如:

 

[root@patrick ~]# ls -Z /etc/shadow /etc/aliases
-rw-r--r--  root root system_u:object_r:etc_aliases_t:s0 /etc/aliases
-r--------  root root system_u:object_r:shadow_t:s0    /etc/shadow  

2.4 查看进程的安全环境

<Fedora 9>

[root@patrick ~]# ps -ZC bash,rsyslogd
LABEL                             PID TTY          TIME CMD
system_u:system_r:syslogd_t:s0   1745 ?        00:00:00 rsyslogd
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2620 pts/0 00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2829 pts/1 00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2882 pts/1 00:00:00 bash

 

查看整个进程栈,ps -eZ或ps -Zax。

flagonxia
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux详解-中文版.pdf
10-18
讲解selinux的作用,生效机制,并详细介绍了如何编写selinux策略模块 中文版
selinux 学习笔记
weixin_33943836的博客
03-20 116
linux security module 介绍 LSM 的基础结构如下图(摘自https://www.ibm.com/developerworks/library/l-selinux/): 把安全模块作为一个module放入了linux kernel中。当kernel有安全相关的action时,通过该安全模块决定是否允许该action。 但是关于安全,linux已经做了很多的努力,LSM的意义...
iptables学习笔记-基础
知识就是生产力
04-07 439
最近一段时间用到了不少网络的知识,设计到防火墙的配置,数据包的路由等等。在此过程中主要使用到了linux自带的iptables来完成一些功能,同样是迷迷糊糊的。以下为学习iptables的一些笔记,以备以后复习。 一、防火墙知识 通过对linux内核防火墙的配置便能够完成上面描述的防护功能。llinux防火墙的配置用iptables工具来配置完成。 1、什么是iptables? iptables...
Linux学习笔记-B站韩顺平
热门推荐
m0_52041525的博客
02-26 2万+
linux 是一个开源、免费的操作系统,其稳定性、安全性、处理多并发已经得到业界的认可,
docker笔记-基础(不带项目)-docker笔记基础知识详细总结
最新发布
qq_34953582的博客
05-28 618
-name指定一个容器名字 , -t指定一个尾终端供登录进来, -i让容器标准输入保持打开状态,/bin/bash表示执行命令是在/bin/bash下,(也可不用写/bin/bash,镜像打包时Dockerfile文件最后一行一般有一个命令就是/bin/bash)#注意:原因是因为国内网络问题,无法连接到 docker hub。#格式:nsenter -t 启动容器的PID号 -u -i -n -p #-u用户空间,-i指IPC空间,-n指网络空间,-p指pid的namespace,
学习笔记0402----shell基础知识
嘻哈记的运维学习之路
04-09 495
shell基础知识预习内容1.shell介绍 预习内容 8.1 shell介绍 8.2 命令历史 8.3 命令补全和别名 8.4 通配符 8.5 输入输出重定向 8.6 管道符和作业控制 8.7/8.8 shell变量 8.9 环境变量配置文件 扩展 bashrc和bash_profile的区别 http://ask.apelearn.com/question/7719 1.shell介绍...
Linux入门笔记-尚硅谷韩顺平-基础&实操
CYW2019_HUST的博客
10-18 2248
学习b站尚硅谷韩顺平老师的Linux入门教程时记录的知识点,视频教程中的案例演示不包含在本文章。本文章仅作为Linux常用命令、常见知识的参考手册
鸟哥的linux私房菜-基础学习 读书笔记
STCNXPARM的博客
05-24 1792
从事linux工作一年多,算是能够熟练运用linux服务器,但仍觉得自己对Linux的原理,理论缺乏空洞,潜下心来认真阅读尘封的鸟哥经典,知识点很全,收获颇多,实践与知识结合,知行合一,对linux开发工作理解更是更深了一层。 目录 杂记重点 第一章、计算机概论 第二章、Linux如何学习 第三章、主机规划与磁盘分区 第五章、文件权限、目录和磁盘格式 第六章、Linux的文件权限与目录配置 第七章、linux磁盘与文件系统管理(分区、格式化、挂载) 第八章、文件和文件系统的压...
zabbix学习笔记——入门
Mr.Wen的博客
01-31 1408
zabbix基础配置入门
Linux基础学习笔记.docx
04-16
Linux 基础学习笔记Linux 操作系统的基础知识笔记,涵盖了 Linux 命令解析语法、权限管理、SELinux 设置、磁盘设置、用户和组设置、计划任务、归档等基础知识点。 一、破密码 破密码是 Linux 系统中的一种安全...
ClickHouse入门学习笔记
11-12
1. **基础知识入门**: - 列式存储:ClickHouse采用列式存储方式,适合数据分析查询。 - 高吞吐写入:ClickHouse支持高速数据写入,适用于大规模数据的实时处理。 - 数据分区与线程级并行:通过数据分区和多线程...
Linux实践工程师学习笔记.docx
11-20
文档是关于Linux实践工程师的学习笔记,主要包括了用户环境配置、硬件检测、系统服务管理以及一些常用系统管理命令。下面将详细阐述这些知识点。 1. **用户环境**: - `locale` 命令用于查看当前系统的语言...
云平台学习笔记(三)-实践
qq_56465763的博客
09-05 1101
双节点配置服务器
selinux学习笔记
yaomoon的专栏
04-16 409
SElinuxSecurity Extend linux) Red hat Enterprise 5支持内核实施的一项新的安全策略:SElinuxSElinux是由美国国防部让安全局针对计算机基础结构开发的,SElinux允许管理员定义高度灵活的策略,让linux内核把它作为日常操作的一部。 SElinux将每个程序都编入到SElinux域内,同时将每个资源放在SElinux
Ubuntu中iptables的使用
06-05 1万+
Ubuntu中使用iptables (一) 设置开机启动iptables # sysv-rc-conf --level 2345 iptables on   (二) iptables的基本命令 1. 列出当前iptables的策略和规则# iptables -L -n -n: 用数字形式显示 # iptables -L -v -v
Ubuntu中的inittab文件
04-20 6482
     上一《解析/etc/inittab》中描述了文件/etc/inittab的内容及其作用。但是,在Ubuntu中竟然找不到inittab?      原来,在Ubuntu 6.1之后,开始用upstart替代init,主要脚本都在/etc/event.d下面,默认情况下,没有/etc/inittab文件。       比较困惑,Linux的不同distribution之差
如何将Linux主机设置成syslog服务器
05-01 5425
鸟哥在书中介绍了这样的一种环境。 办公室内有10台Linux主机,每一台负责一个网络服务。为了无需登录每台主机去查看登录文件,需要设置一台syslog服务器,其他主机的登录文件都发给它。这样做的话,只需要登录到syslog服务器上就能查看所有主机的登录文件。 RedHat上的设置方法,鸟哥已经介绍了。 【服务器端】step 1:查看服务器是否开启了UDP 514端口
Ubuntu中拷贝整个目录
06-27 4222
 (方法1) # cp -a /source/directory /dest/directory # 要求 GNU cp传统的cp命令无法完成这个任务,因为它即不对符号链接区分对待,也不能保存硬链接。(方法2) # (cd /source/directory && tar cf - . ) | (cd /dest/directory && tar xvfp - )Tar克服了cp在处理符号链接时出
SELinux入门指南:基础知识教程
该书的核心内容主要集中在SELinux基础知识上,包括但不限于以下几个方面: 1. 笔记本信息: - 讲解了书籍的版权信息,强调用户可以根据GNU自由文档许可证进行使用,无需支付费用,但必须保留版权信息,并且不得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值