SELinux
文章平均质量分 86
铁桶小分队
这个作者很懒,什么都没留下…
展开
-
SELinux入门:模式查看与切换
SELinux–Security Enhanced Linux,是一个可以实现强访问控制(MAC)的Linux安全子系统。用户编写了安全策略,并且加载到系统中,可以控制主体(进程)对客体(种类很多,如普通文件,socket等)的操作。如果系统运行了SELinux,除了要满足标准Linux访问控制,还要满足SELinux访问控制,主体才能访问客体。SELinux模式查看与切换系统的SELinux有三种原创 2017-04-01 14:16:37 · 2384 阅读 · 0 评论 -
mount命令挂载文件系统时指定安全上下文的方法
背景Linux的mount命令的context相关选项,可以在挂载文件系统时指定文件系统及其上文件的安全上下文。context选项context选项可以在挂载时指定文件系统和文件系统上的文件的安全上下文。挂载成功后,文件系统和其上所有的文件的安全上下文都是context后面指定的值,如下所示,/log目录下的所以文件/目录的安全上下文都是system_u:object_r:log_tmou...原创 2019-08-17 16:49:15 · 1416 阅读 · 0 评论 -
SEAndroid的MLS相关知识以及配置方法
#背景##MLSMLS,即Multi-Level Security,多级安全,可以对系统的文件和进程进行分级。MLS源于BLP模型,是一种为军事领域涉及的安全模型。在SEAndroid的MLS里,每个进程和文件都有一个安全等级(level),level由敏感度(sensitive)和组别或者种类(category)组成。如下图所示,s0表示sensitive,c512,c768表示cat...原创 2019-08-17 14:54:59 · 4109 阅读 · 1 评论 -
使用make_ext4fs工具制作ext4文件系统时设置安全上下文遇到的问题
make_ext4fs是谷歌为了在Android平台上制作ext4文件系统的镜像而开发的工具,由于Google在 Android 4.4 上正式推出的一套以 SELinux 为基础于核心的系统安全机制SEAndroid,因此make_ext4fs的一些选项可以支持对文件系统中文件安全上下文进行设置。具体的安全上下文设置方法可参考《使用make_ext4fs制作文件系统时写入文件安全上下文的方法》...原创 2019-08-17 11:55:54 · 1285 阅读 · 0 评论 -
Linux常用的设置文件安全上下文命令使用方法
设置安全上下文常用命令setfileconsetfilecon介绍setfilecon用于设置文件/目录的安全上下文,后面直接跟上安全上下文以及文件的路径,其中待设置的文件/目录路径可以为多个,除此外没有其他的参数和选项,非常简单粗暴。setfilecon的获取如果提示没有安装这个命令,则需要先安装selinux-utils工具包sudo apt install selinux-ut...原创 2019-02-28 11:30:12 · 3922 阅读 · 0 评论 -
SELinux初始化登录用户安全上下文的方法
在开启了SELinux的系统中,登录用户也有特定的安全上下文,可以用id -Z查看: 接下来说一下如何在策略文件中定义登录用户的默认安全上下文 1.在seusers中定义每个登录用户SELinux用户,如果不想为每一个用户都定义SELinux用户,可以使用__default__指定未定义SELinux用户时使用的默认SELinux用户名: 2.SELinux子系统启动后,会根据登录用...原创 2018-07-14 21:08:14 · 1183 阅读 · 0 评论 -
使用make_ext4fs制作文件系统时写入文件安全上下文的方法
make_ext4fs是谷歌为了在Android平台上制作ext4文件系统的镜像而开发的工具,也可以用于Linux平台上的镜像打包。安卓平台上,用make_ext4fs制作镜像的过程被封装在源码的脚本中,用户只需在file_context文件定义文件的安全上下文,在编译源码后得到的ext4镜像,其中的文件都会带有预设置的安全上下文。下面主要讲述在Linux上如何在使用make_ext4fs制作镜像时原创 2017-11-10 20:12:28 · 8506 阅读 · 1 评论 -
SELinux策略实例--type_transition(二)
上一篇博客http://blog.csdn.net/keheinash/article/details/70169705,讲了type_transition的一个实例,成功地让特定类型的进程执行指定可执行文件后,产生的新进程的domain成为策略文件中指定的类型。在上一篇博客的最后,把可执行文件替换为脚本文件后,再去执行脚本文件,策略就不起作用了,bash脚本: python脚本: 出现这个问题原创 2017-05-24 20:18:20 · 2861 阅读 · 0 评论 -
SELinux策略实例--type_transition(一)
在上一篇博客http://blog.csdn.net/keheinash/article/details/68945914说明了如何在不重新编译整个SELinux源码的情况下,单独编译加载一个模块。这次在模块里增加一个type_transition的实例,并且编译加载,检查是否生效。type_tansition的作用和语法SELinux中,安全上下文(Security Context)的定义是Use原创 2017-04-14 10:31:18 · 6641 阅读 · 1 评论 -
SELinux:编译加载源码和模块
在https://koji.fedoraproject.org/koji/packageinfo?packageID=32下载代码包,根据http://selinuxproject.org/page/NB_RefPolicy#Building_the_Fedora_Policy教程进行编译安装。安装完成功后,可以在/etc/selinux/看到新增了一个目录:refpolicy-rhczx,这个策略原创 2017-04-01 16:40:52 · 6104 阅读 · 0 评论 -
Android系统app的domain(安全上下文)设定方法
背景在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程的安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下...原创 2019-09-21 16:54:30 · 4054 阅读 · 1 评论