SELinux

最新推荐文章于 2024-04-20 18:57:00 发布
最新推荐文章于 2024-04-20 18:57:00 发布
阅读量592 收藏
点赞数
分类专栏: Linux 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46267075/article/details/128213023
版权

文章目录

SELinux 是 Security-Enhanced Linux 缩写,安全强化的linux
系统资源都是通过程序进行访问的,如果将/var/www/html权限设置为777,代表所有程序均可以对该目录访问,如果已启动www服务软件,那么该软件触发的进程将可以写入该目录,而该进程是对整个internet提供服务的。
为了控制这方面的权限与进程问题,出现SELinux

SELinux说明

对程序、文件灯权限设置依据的一个内核模块。由于启动网络服务的也是程序,因此刚好也是能够控制网络服务能否访问系统资源的一道关卡。

1、传统的文件权限与账号的关系:

自主访问控制,DAC(Discretionary Access Control)----针对用户权限

当某个进程想要对文件进行访问时,系统就会根据该进程的所有者/用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。各种权限设置对root用户无效

2、以策略规则指定特定程序读取特定文件

强制访问控制,MAC(Mandatory Access Control)----针对程序进程的权限

MAC可以针对特定的进程与特定的文件资源来进行权限的控制

即使用root权限,使用不同进程,取得的权限并不一定是root,而要看当时该进程的设置

这个进程也不能任意使用系统资源,因为每个文件资源也有针对进程设置可取用的权限

SELinux 的运行模式

通过MAC的方式控制管理进程,控制的主体是进程,而目标则是该进程能否读取的文件资源

主体subject : 进程

==目标 object : == 被主体访问的资源,可以是文件、目录、端口

==策略 policy : ==由于进程与文件数量庞大,SELinux会依据某些服务 来指定基本的访问安全策略。

这些策略还有详细规则(rule)来指定不同服务开放某些资源的访问与否

  • targeted : 针对网络服务限制多,针对本机限制少,是默认的策略
  • strict : 完整的SELinux限制, 限制方面严格

安全上下文(security context)

主体能否访问目标除了策略指定外,主体与目标的安全上下文必须相互匹配才能顺利访问

最终文件的成功访问还是与文件系统的rwx权限设置有关

查看安全上下文
在这里插入图片描述

最低0.47元/天 解锁文章
.心徒.
关注
专栏目录
SELinux策略规则
haohaoxuexiyai的博客
02-21 4364
目录一、SELinux Targeted、MLS和Minimum策略Target 策略MLS 策略Minimum 策略二、SELinux策略规则查看方法(seinfo和sesearch)三、SELinux策略规则的开启和关闭查询策略规则是否开启修改规则的开启状态SELinux导致vsftpd不能正常登录 一、SELinux Targeted、MLS和Minimum策略 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型
Linux系统下安全控制策略SELinux解析
Moyun_vackbot的博客
10-27 324
SELinux安全控制策略是安全体系中端点安全防护中的一环,其主要采用权限分类和认证的策略,使未经过认证的程序无法被执行,防止操作系统被入侵后陌生程序执行恶意程序和木马,Android的权限访问控制策略也借鉴了其中的安全思想。总的来说,SELinux的安全控制策略拥有优秀的安全控制框架,允许自定义适合自身系统的安全策略,增强Linux的系统安全,防御未知攻击。
Android-SeLinux安全策略
最新发布
qq_46422460的博客
04-20 1040
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制)MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
SELinux策略语法以及示例策略
weixin_46645613的博客
01-01 1361
type a;#定义一个类型 atype a_t;#定义一个类型 a_t#定义一个属性 TestFile#定义一个类型 b_t,具有属性 TestFile#使a_t也具有TestFile属性type 和 attribute 两者位于同一个命名空间,也就是说如果定义了 type a,那就不能定义 attribute aa_t,后面有个 t 是表示 “type” 类型,这是 PC 端 SELinux 策略常见写法,但是 Android 不这样用,没有后缀。
Linux SELinux讲解
m0_49864110的博客
02-25 4281
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
关闭selinux_SELinux入门
weixin_39661353的博客
11-18 391
初识SELinux什么是SELinux说专业一点: 安全性增强的Linux(SELinux)是Linux内核中强制性访问控制机制的一种实现, 它在检查了标准的自由访问控制后检查允许的操作. SELinux可以基于定义的策略Linux系统中的文件和进程及其动作实施规则.说的通俗一点: SELinux在大多数情况下可以理解为一个以进程为主体的资源访问白名单.再絮叨几点:额外的安全层: SE...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux-example_SELinux_
09-28
**SELinuxLinux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
SELinux.zip
05-25
**SELinux:安全增强型Linux** SELinux,全称为Security-Enhanced Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,为用户提供了一种更为精细的权限管理机制。...
一文读懂SElinux,相关策略以及SElinux域转换
m0_60291616的博客
04-07 1627
selinux相关介绍
linux 修改文件上下文,SELinux修改文件上下文:
weixin_31943449的博客
05-11 823
修改文件上下文:以访问Apache返回Forbidden为例,非/var/www/目录的虚拟主机)Apache路径(/var/www/)的上下文为httpd_sys_content_t下面介绍三种方法,详见下文。暂时性修改:方法一:(直接修改上下文)chcon-R -thttpd_sys_rw_content_t /http_vhost_test/因为/http_vhost_test的目录的上下文...
SELinux策略语言--编写TE规则
u014674293的博客
08-02 666
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port XXX
至虛極,守靜篤
03-09 4384
环境:CentOS8 今天,由于需要把httpd的端口改为一个自定义的端口,结果修改后,httpd启动失败。查看syslog发现报错:SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 。 从日志看,显然是被SELinux给拦截了。 SELinux为系统里的所有端口进行分配。缺省条件下,所有小于1024的端口都标识为保留端口类型 reser...
Linux系统:selinux规则配置详解
十七拾的博客
03-07 2551
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
SELinux详解
不知道
03-25 7773
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
SELinux System Administration, First Edition
02-02
SELinux系统管理,第一版》是一本全面的指南,旨在引领读者深入理解并掌握SELinux(Security Enhanced Linux)访问控制体系。本书由Sven Vermeulen撰写,由Packt Publishing出版,版权日期为2013年9月。该书详细...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值