SELinux策略实例--type_transition(一)

已于 2024-03-11 10:36:18 修改
阅读量6.5k 收藏 16
点赞数 4
分类专栏: SELinux 访问控制 安全 文章标签: security selinux
于 2017-04-14 10:31:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keheinash/article/details/70169705
版权

在上一篇博客http://blog.csdn.net/keheinash/article/details/68945914说明了如何在不重新编译整个SELinux源码的情况下,单独编译加载一个模块。这次在模块里增加一个type_transition的实例,并且编译加载,检查是否生效。

type_tansition的作用和语法

SELinux中,安全上下文(Security Context)的定义是User:Role:Type:MLS。在TE(Type Enforcement)策略中,Type(类型)是我们需要重点关注的。

type_transition是类型转换语句,允许主体或者客体在条件符合的情况下,将安全上下文中的type转移成为指定的类型。一般适用于两种场景:
1.进程创建新的客体时,新客体的类型来自type_transition的规定
2.进程执行execve系统调用后,进程的新类型来自type_transition的定义

type_transition的语法:

type_transition source_type target_type : class default_type;

策略编写

下面针对第二种场景,我们就在上一篇博客中使用的myapp模块加入type_transition策略:让一个source_type的进程,在执行target_type的可执行文件后,进程的类型变为default_type。并且加载编译加载myapp模块,并检查策略是否生效。

在这个场景下,我们先找到source_type是哪一种类型。

最低0.47元/天 解锁文章
铁桶小分队
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SELinux策略实例--type_transition(二)
code/decode的博客
05-24 2830
上一篇博客http://blog.csdn.net/keheinash/article/details/70169705,讲了type_transition的一个实例,成功地让特定类型的进程执行指定可执行文件后,产生的新进程的domain成为策略文件中指定的类型。在上一篇博客的最后,把可执行文件替换为脚本文件后,再去执行脚本文件,策略就不起作用了,bash脚本: python脚本: 出现这个问题
【Linux】SELinux
嚴 帅的博客
01-09 663
一、SELinux说明 SELinux是Security-Enhanced Linux的缩写,中文意思你是安全强化的linux。 SELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用。 系统资源都是通过程序进行访问的,如果将/var/www/html/权限设置为777,代表所有程序均可对该目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以...
【Android14 ShellTransitions】(一)开篇
ukynho的博客
05-23 1679
说来惭愧,AndroidU都已经开发这么久了,但是我还没有整理过ShellTransition相关的知识。我本来希望能够系统的写一篇关于ShellTransition的笔记出来,但是发现一来这是一个比较庞大的模块,二来我个人能力有限,对ShellTransition目前掌握的并不透彻,只是朦胧上大体有一个认知。
深入理解SELinux SEAndroid(第一部分)
热门推荐
Innost的专栏
02-16 13万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
linux切换字符命令,tr命令 – 字符转换
weixin_31794609的博客
05-12 270
tr的英文全称是“ transform ”,即转换的意思。该命令的作用是一种可将字符进行替换、压缩、删除,他可以将一组字符转换成另一组字符。tr他只能从标准输入中读取数据,因此,tr要么将输入文件重定向到标准输入,要么从管道读入数据。注意:tr类似于sed命令,但是比sed简单,所以tr能实现的功能,sed都能实现。语法格式:tr [参数] [字符串1] [字符串2]常用参数:-c选定字符串1中字...
Selinux的type创建
无本之木
08-16 3319
In fedora the resources and files necessary for building new modular policies are in the devel directory under /usr/share/selinux/. This directory and all the files required for module development com
获取SELinux TYPE
linux/unix
11-19 2292
TYPE=`awk -F= '/^SELINUXTYPE/{ print $2 }' /etc/selinux/config`
flatpak-selinux-1.8.5-4.el8_4.noarch(1).rpm
12-05
官方离线安装包,亲测可用
selinux-policy-3.13.1-268.el7_9.2.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-policy-targeted-3.13.1-268.el7_9.2.noarch.rpm
01-29
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-policy-devel-3.13.1-268.el7_9.2.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
pcp-selinux-4.3.2-13.el7_9.x86_64.rpm
12-17
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
Selinux type 编写示例
Android 系统开发
02-23 3329
以下是从aosp 中,分析如何定义的type 和allow 规则 1.定义type (domain) hal_light 这个type的定义 type hal_light_default, domain; hal_server_domain(hal_light_default, hal_light) aosp/system/sepolicy/vendor/qcom/common/hal_li...
Android系统10 RK3399 init进程启动(二十七) Selinux Type和Attribute
ldswfun的专栏
06-14 2491
Selinux实现的是强制类型访问模型, 可以简单理解一切都是类型, 不管是主体还是客体,都必须类型化, 如客体和客体和主体都需要设置安全上下文, 客体格式为u:r:xxx:s0, 主体为u:object_r:yyy:s0, 其中xxx和yyy是可以自定义的, 但是需要通过type进行类型化声明, 你可以理解type为一个动词,为xxx取名,客体一般声明type, 主体一般声明为domain...
5.【SELinux学习笔记】类型增强
从0到1,突破自己
08-11 5817
这一篇对我来说是非常重要的,我们可以从本篇博文中了解到SELinux策略语言 一、类型增强     SELinux策略大部分是一套声明和规则一起定义的类型增强(TE)策略。每个进程对每个资源的访问尝试都必须要有一条允许的TE访问规则。所有规则都属于两类范畴:访问向量(AV,即权限)和类型规则。 1.类型、属性、别名     SELinux主要使用类型来确定什么访问是被允许的,而别名
TypeScript中类型转换(Type Transformation)
极客神殿
06-26 670
在TypeScript中,类型转换(Type Transformation)是一个强大的功能,可以通过不同的方法将一种类型转换成另一种类型。
SElinux内核态的实现-type和attribute映射关系的实现以及基于规则库的权限检查
最新发布
m0_37923396的博客
07-02 861
本文主要讲解如何实现SELinux基于规则文件的权限查询。
SELinux零知识学习二十九、SELinux策略语言之类型强制(14)
phmatthaus的专栏
11-25 1402
SELinux零知识学习二十九、SELinux策略语言之类型强制(14)
selinux简介
08-30 996
一、SELinux简介 SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中,因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。 现在主流发现的Linux版本里面都集成了SELinux.
selinux-policy-3.13.1-268.el7_9.2.noarch
09-01
selinux-policy-3.13.1-268.el7_9.2.noarch 是一个SELinux策略软件包的版本。SELinux是一种安全增强的Linux内核模块,通过强制访问控制机制来提高操作系统的安全性能。 selinux-policy-3.13.1-268.el7_9.2.noarch 版本中的"3.13.1"代表策略版本号,该版本是一个较新的SELinux策略版本。数字"268"表示该版本的补丁级别,"el7_9.2"表示该版本适用于CentOS/RHEL 7.9操作系统。末尾的"noarch"表示该软件包可以在任何架构的计算机上工作。 这个软件包包含了一系列的SELinux策略规则和设置,用于控制和限制应用程序的行为,并提供额外的安全保护机制。通过这些策略规则,管理员可以定义应用程序的权限和限制,以防止恶意操作或未经授权的访问。 selinux-policy-3.13.1-268.el7_9.2.noarch 版本的发布是为了修复之前版本中发现的一些漏洞和缺陷,并提供最新的安全增强功能。更新软件包可以帮助系统更好地保护敏感数据和资源,提高系统的安全性。 要安装或更新该软件包,可以使用包管理工具,如yum或dnf,指定软件包名称和版本号,并执行相应的命令。安装最新版本的SELinux策略软件包有助于保护计算机系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值