学点SELinux--(1)SELinux的工作方式、启动和停止

最新推荐文章于 2023-11-18 18:04:41 发布
最新推荐文章于 2023-11-18 18:04:41 发布
阅读量3k 收藏 2
点赞数
分类专栏: Linux 文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happy_dw/article/details/51862741
版权
本文介绍了SELinux的工作方式,从传统的DAC模式到MAC模式,详细阐述了其作为强制访问控制机制如何增强系统安全性。同时,讨论了如何查看和管理SELinux的模式,包括启动、停止以及在不同模式之间的切换。对于想要深入了解和使用SELinux的Linux用户,提供了实用的操作指导。
摘要由CSDN通过智能技术生成

在一年前就已经接触过SELinux这个概念了,但一直没有去学学。当时是在学习另一个Linux内核补丁,叫GrSecurity,它的具体内容可以到HardenedLinux社区去看看,在这里主要是作一些SELinux的学习笔记。
这次趁着巩固学习Linux的机会去了解了一下SELinux的内容。

1、SELinux的工作方式

SELinux是在进行程序、文件等权限设置一句的一个内核模块。【摘自鸟哥私房菜 第17章】

传统的DAC模式

我们知道在Linux下面的ugo权限模式,即通过rwx权限对用户进行访问控制。这也可以称作为DAC(自主访问控制方式)。但这种访问控制方式存在缺陷:

a、root一手遮天
b、安全意识不强的系统管理员可以将访问权限设置为777

MAC模式

SELinux的设计初衷也是为了避免系统资源被误用(如b)。因此,SELinux通过MAC(强制访问控制)方式来管理进程。
在MAC方式下,SELinux监管的主体从用户转变成了进程,因此它可以针对特定的资源和特定的文件资源进行权限的控制。

2、SELinux的模式

目前不是所有的Linux发行版都支持SELinux,至少我现在的主系统Mint就没有支持SELinux。不过CentOS都有对SELinux的支持。
SELinux支持三种模式:

1、enforcing:强制模式,表示SELinu
最低0.47元/天 解锁文章
happy_dw
关注
专栏目录
SELinux系列(三)——SELinux的三种工作模式
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 1718
通过对 SELinux 的介绍,初学者可以这样认为,在传统 Linux 系统使用访问控制方式的基础上,附加使用 SELinux 可增强系统安全。那么,SELinux 是如何运行的呢? 在解释 SELinux工作模式之前,先解释几个概念。 主体(Subject):就是想要访问文件或目录资源的进程。想要得到资源,基本流程是这样的:由用户调用命令,由命令产生进程,由进程去访问文件或目录资源。在自主访问控制系统中(Linux 默认权限中),靠权限控制的主体是用户;而在强制访问控制系统中(SELinux..
SELinux整理笔记
liguangxianbin的博客
05-25 5257
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
Linuxselinux
二当家的
10-31 267
SELinux 的运作模式 主体 (Subject):SELinux 主要想要管理的就是程序,因此你可以将『主体』跟 process 划上等号; 目标 (Object): 主体程序能否存取的『目标资源』一般就是文件系统。因此这个目标项目可以等文件系统划上等号; 政策 (Policy): 由于程序与档案数量庞大,因此 SELinux 会依据某些服务来制订基本的存取安全性政策。这...
Linux中的SELinux
shinfocom
08-25 177
SElinux的前身是NSA(美国国家安全局)发起的一个项目。它的目的是将系统加固到可以达到军方级别。 为什么NSA选择Linux呢? 在目前市面上大多数操作系统都是商用闭源的,只有Linux是开源的,这样修改并加入这项功能就方便许多,而且没有版权纠纷。所以,现在selinux就成为了Linux内核的一部分。 在了解selinux之间,我们需要知道DAC和CS的概念,它们是linux...
linux初学者-SElinux
weixin_30335575的博客
12-29 241
linux初学者-SElinuxSElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 1、SElinux的状态 命令"getenforce"可以查看SElinux的状态,SElinux的状态分为以下三种...
MySQL selinux
我的LOG
08-11 558
selinux环境 selinux Mysql 启动失败 mysql服务中的selinux mysql进程主体的domain标签:   在selinux环境中,mysqld的“domain”标签为mysqld_t、mysqld在受限的mysqld_t域中仅能访问指定的资源; selinux环境中mysql能访问的资源标签 标签名 用途 mysqld_db_t 这种文件类型用于标记MySQL数据库数据文件;在RHEL/CentOS中数据文件的默认位置是“/var/lib/mysql”;如果
Lock SELinux forced mode.zip
07-20
3. **service.sh** - 这可能是一个启动服务的脚本,可能用于启动停止SELinux强制模式相关的服务,或者定期检查其状态。 4. **META-INF** - 这通常在Java存档(JAR)文件中用于存储元数据,但在这种情况下,它...
selinux:库食谱来管理SELinux策略执行状态
05-16
SELinux食谱 SELinux(安全性增强Linux)食谱提供了操作SELinux策略实施状态的方法。 SELinux可以具有以下三种设置之一: Enforcing 监视所有系统访问检查,停止所有“拒绝访问” RHEL系统上的默认模式 ...
ExecStart=/usr/local/sbin/dockerd --selinux-enabled=false -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375 --data-root=/data/docker 作用是
最新发布
04-27
1. --selinux-enabled=false 表示 Docker 容器中不启用 SELinux; 2. -H 参数指定 Docker 服务监听的地址,这里是 unix:///var/run/docker.sock 和 tcp://0.0.0.0:2375,分别代表 Unix 套接字和 TCP 端口; 3. --...
linux下的selinux
someone12的博客
08-18 424
一.selinux简介 selinux:内核级加强型防火墙 二.selinux状态控制 1./etc/sysconfig/selinux    ##selinux状态控制文件(开关) SELINUX=enforing    ##强制模式,也就是打开了,生效了。 SELINUX=permissive    ##警告模式 SELINUX=disabled    ##关闭模式 设置保存完后,需要...
LinuxSELinux
qq_57289939的博客
09-07 1750
SELinux(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源例如--- 电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情。
查看SELinux状态及关闭SELinux
ITmanba的博客
08-05 415
查看SELinux状态: sestatus -v 如果SELinux status参数为enabled即为开启状态 临时关闭 setenforce 0 关闭(需重启机器) vim /etc/selinux/config 将SELINUX=enforcing改为SELINUX=disabled 重启机器即可
Linux开启SELinux
weixin_48692664的博客
01-07 3882
安全增强型LinuxSELinux)是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。本文介绍如何开启或关闭SELinux,并且避免系统无法启动的问题。 开启SELinux 以root权限操作:sudo su - 编辑SELinux的config文件:vi /etc/selinux/config 找到SELINUX=disabled,按i进入编辑模式,修改该参数开启SELinux 修改参数,开启SELinux有以下两种模式: 强制模式SELINUX=enforcing:表示所有违反安全策
selinux
windowsworld的博客
05-06 691
selinux级别的不同对服务的影响 selinux是内核上的一个插件 vim /etc/sysconfig/selinux 配置文件 SELINUX=XXXX(disabled,enforcing) 作用: 1.给文件加上一个标签,不符合标签的文件无法访问 2.给功能加上一个开关 未修改selinux为强制前(disabled),可以上传文件,新建的文件也可以看到 修改selinix为强制...
Linux服务之selinux
weixin_54822053的博客
09-25 553
selinux之前是基于自主存取控制方法DAC,只要符合权限即可,通过suid和sgid特殊权限存在有一定的安全隐患,甚至一些错误的配置就会引发巨大的漏洞,被轻易攻击。selinux是基于强制存取控制方法MAC,应用程序或用户必须同时符合DCA既要对应selinux的MAC才能正常操作,否则遭到拒绝。MAC:强制访问控制,主体是程序,访问目标文件,由文件权限和策略决定。DAC:自主访问控制,主体是用户,访问目标文件,由文件本身权限决定的。在权限基础上,定义各种所属类型,类型不匹配将拒绝。
SELinux工作模式有几种?
oldboyedu1的博客
02-28 531
SELinux,全称为Security Enhanced Linux,也就是安全强化的Linux,由美国国家安全局(NSA)联合其他安全机构(比如SCC公司)共同开发的,旨在增强传统Linux操作系统的安全性,解决传统Linux系统中自主访问控制(DAC)系统中的各种权限问题(如root权限过高等)。关闭SELinux方式也很简单,只需编辑配置文件/etc/selinux/config,并将文本中SELINUX=更改为SELINUX=disabled即可,重启系统后,SELinux就被禁用了。
SELinux
2302_77035737的博客
11-18 643
(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的-个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值