SELinux 初探

最新推荐文章于 2024-05-02 14:48:25 发布
最新推荐文章于 2024-05-02 14:48:25 发布
阅读量802 收藏 1
点赞数
分类专栏: Linux-Ubuntu-Mac
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanchunhui/article/details/77823021
版权

SELinux:Security Enhanced Linux。SELinux 是 NSA(美国国家安全局)开发设计,整合到 Linux 内核中的一个模块。

0. 基本概念

  • DAC(Discretionary Access Control),自主访问控制,传统的文件权限和账号关系;

    系统账号主要分为系统管理员(root)与一般用户,这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此,当某个进程想要对文件进行访问时,系统就会根据该进程的所有者、用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”(DAC),基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。

  • MAC(Mandatory Access Control),强制(委托)访问控制,以策略规则制定特定程序读取特定文件;

    MAC 可以针对特定的进程特定的文件资源来进行权限的控制,即使是 root,在使用不同的进程时,所能取得的权限不一定是 root,而是要看当时该进程的设置而定。如此一来,我们针对控制的“主体”编程了“进程”而不是“用户”。

1. SELinux 的运行模式

SELinux 通过 MAC 的方式来控管进程,其控制的主体(subject)是进程,而目标(object)则是该进程能否读取的“文件资源”,即其重点在于主体如何取得目标的资源访问权限。


这里写图片描述

2. SELinux 的启动、关闭与查看

并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux,因 SELinux 是一种 linux 内核模块,因此无需自行编译 SELinux 到 Linux 内核中。

# getenforce
Enforcing
            # SELinux 支持三种模式,分别如下:
                enforcing:强制模式,代表 SELinux 正在运行中,已经开始限制 domain(主体程序,subject)/type(文件资源 object) 了
                permissive:容许模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type 的访问,用于 SELinux 的调试;
                disabled:SELinux 未运行;
# sestatus
            # 列出目前的 SELinux 的策略(policy)
# vim /etc/selinux/config   # selinux 配置文件
            SELINUX=enforcing,调整 enforcing|permissive|disabled
            SELINUXTYPE=targeted,目前仅有 targeted 与 strict
五道口纳什
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux系统开启或关闭SELinux
高性价比服务器就选:蓝易云
05-16 2953
SELinux 是一个强制访问控制机制,它在 Linux 内核中实现。相较于其他访问控制机制,如传统的 UNIX 文件权限和 Linux 访问控制列表(ACL),SELinux 能够提供更细粒度的访问控制。在 SELinux 中,每个进程和对象都有一个安全上下文。该上下文包含了一些标签(例如,用户、角色和类型),用于表示该进程或对象的安全级别。在访问控制中,SELinux 使用了一个策略管理器,它会在访问请求到达时检查该请求是否符合策略要求,并在满足要求时批准该请求。
Linux SELinux讲解
m0_49864110的博客
02-25 4281
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
最新Linux中开启或关闭SELinux_打开selinux(1)
最新发布
m0_60388419的博客
05-02 395
● 强制模式SELINUX=enforcing:表示所有违反安全策略的行为都将被禁止。● 宽容模式SELINUX=permissive:表示所有违反安全策略的行为不被禁止,但是会在日志中作记录。4.修改完成后,按下键盘Esc键,执行命令:wq,保存并退出文件。5.在根目录下新建隐藏文件autorelabel,实例重启后,SELinux会自动重新标记所有系统文件。6.重启Linux。
Linux开启SELinux
weixin_48692664的博客
01-07 3834
安全增强型Linux(SELinux)是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。本文介绍如何开启或关闭SELinux,并且避免系统无法启动的问题。 开启SELinux 以root权限操作:sudo su - 编辑SELinux的config文件:vi /etc/selinux/config 找到SELINUX=disabled,按i进入编辑模式,修改该参数开启SELinux 修改参数,开启SELinux有以下两种模式: 强制模式SELINUX=enforcing:表示所有违反安全策
开启Selinux遇到的坑
小刘的博客
01-25 3243
事故起因: 由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本中,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。 开启SELinux 实例上运行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SE
Linux之SELinux
qq_57289939的博客
09-07 1292
SELinux(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源例如--- 电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情。
selinux入门初探
12-03
selinux入门初探 入门级 希望对大家能有帮助
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
关闭selinux命令
01-25
关闭selinux命令
Linux启动SELinux
qq_43203949的博客
06-15 3554
centos自带SELinux。 开启 先编辑配置信息 在根目录下创建隐藏文件,然后重启Linux 验证 切换SELinux模式 模式切换不需要重启linux,而在关闭SELinux(设为disabled)或开启(设为permissive,Enforcing)需要重启Linux。 Utunbu 安装,似乎不是自带的,而是使用代替。本人在测试,发现只有,所以我需要使用进行替换。 开启 也是配置信息,会发现跟centos那边的SELinux的配置文件有一些些不同,不过主题内容大致一致。 验证 验证方式没改变 .
LInux基础——SELinux
热门推荐
松仔Log的博客
07-25 2万+
SElinux是什么?一起来看看
SELinux的工作模式有几种?
oldboyedu1的博客
02-28 265
SELinux,全称为Security Enhanced Linux,也就是安全强化的Linux,由美国国家安全局(NSA)联合其他安全机构(比如SCC公司)共同开发的,旨在增强传统Linux操作系统的安全性,解决传统Linux系统中自主访问控制(DAC)系统中的各种权限问题(如root权限过高等)。关闭SELinux的方式也很简单,只需编辑配置文件/etc/selinux/config,并将文本中SELINUX=更改为SELINUX=disabled即可,重启系统后,SELinux就被禁用了。
selinux
柒哥的博客
03-06 419
当发现一个服务出现错误的时候,请先检查一下 sealert 的分析报告里面是否有该服务进程名称的关键字。设想一下,如果一个以 root 身份运行的网络服务存在 0day 漏洞,黑客就可以利用这个漏洞,以 root 的身份在您的服务器上为所欲为了。这样一来,即使进程是以 root 身份运行的,也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。在使用了 SELinux 的操作系统中,决定一个资源是否能被访问的因素除了上述因素之外,还需要判断每一类进程是否拥有对某一类资源的访问权限。
SELINUX 服务
weixin_42688499的博客
04-17 2382
目录 一、SELinux 服务介绍 1.1、临时关闭服务 1.2、永久关闭 二、端口上下文 添加端口号的规则的规则库 三、使用布尔值调整selinux策略 四、文件或目录安全上下文 (标签) 4.1、安全上下文介绍 4.1.1、身份字段 4.1.2、角色字段 4.1.3、类型字段 4.1.4、灵敏度 4.2、查询安全上下文 4.2.1、查询某一进程的安全上下文 4.2.2、查询某一目录或文件的安全上下文 4.2.3、查询默认安全上下文 4.3、修改目录安全上下文 4.3.
Linux系统的安全模块Selinux总结
yolo_yyh的博客
11-15 2345
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这篇文章可以帮助大家如何定位selinux权限问题。
linux之selinux强制访问控制
Ying_smile的博客
05-16 5024
selinux selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
SELinux开启与关闭各参数说明
求索
01-08 1万+
一,目前系统文件权限的管理有两种:DAC(传统的) 和 MAC(SELinux) 总结:DAC是以用户为出发点来管理权限的       MAC是以程序为出发点来管理权限的 1,传统的文件权限与帐号关系:自主式存取控制, DAC(Discretionary Access Control, DAC) 简单理解DAC就是rwx!因此,当某个程序想要对文件进行存取时, 系统就会根据该程序的拥有者/
SeLinux权限
MrDouYa的博客
03-19 1473
SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Android 4.4引入,L相对较为全面成熟,具体的信息如博客: https://blog.csdn.net/bsxiaomage/article/details/51126826 作者 lansehai2014 Selinux的两种模式分别为:1.Enforcing表示seLinux已经打开;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

五道口纳什

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值