Linux中的内核级加强型火墙SELinux

最新推荐文章于 2021-11-19 23:14:42 发布
最新推荐文章于 2021-11-19 23:14:42 发布
阅读量151 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59749940/article/details/119493208
版权
SELinux(Security-Enhanced Linux)是一种内核级的安全子系统,通过限制服务进程访问资源来增强系统安全性。它通过安全上下文控制文件和程序的访问权限,同时管理sebool值以控制程序功能。SELinux有enforcing、permissive和disabled三种工作模式,可以通过getenforce查看状态,并用setenforce切换。安全上下文的查看和修改涉及chcon和semanage命令,而sebool用于管理程序功能开关。此外,seport用于管理服务使用的端口。
摘要由CSDN通过智能技术生成

一、什么是SELinux

安全增强型火墙SELinux(Security-Enhanced Linux)是Linux的一个内核模块,也是Linux的一个安全子系统

二、SELinux的作用

SELinux的主要作用就是最大限度地减小系统中服务进程可以访问的资源:

在没有使用SELinux的操作系统中,决定一个资源是否能被访问的因素是这个资源是否拥有对应用户的读、写、执行的权限;而在使用了SELinux的操作系统中,决定一个资源是否能被访问的因素除了上述之外,还需要判断每一类进程是否拥有对某一类资源的访问权限

这样一来,即时进程是以超级用户root身份进行的,系统也会判断这个进程的类型以及被访问资源的类型才能决定是否能被访问某个资源,进程的活动空间也可以被压缩到最小

SELinux对文件的影响:

当selinux开启时,内核会对每个文件及每个开启的程序加载标签,此标签记录的是程序和文件的安全上下文(context)

SELinux对程序的影响:

当selinux开启时,内核会对程序的功能加载开关(sebool),并设定此开关的状态为关闭;当使用此功能时需要手动开启功能开关

SELinux状态对文件和程序的影响效果

当selinux未开启时

当selinux开启时

selinux开启时,内核对Vsftpd服务程序的功能加载了开关,如上图匿名用户的写入功能开关为关闭状态,所以导致即使Vsftpd的配置文件中允许了匿名用户上传,但因为匿名用户写入的功能未开启,导致匿名用户无法上传文件 

三、SELinux的状态及管理

selinux有三种状态(工作模式):

enforcing                ##强制模式===违反SELinux规则的行为将被阻止并记录到日志中

permissive                ##警告模式===违反SELinux规则的行为会被允许且会收到警告,也会记录到日志中

disabled                ##SELinux关闭

日志位置:/var/log/audit/audit.log

日志服务:auditd.service

操作者可以在selinux的配置文件 /etc/selinux/config 中更改其状态

在此文件中更改selinux状态时需重启系统才能生效

selinux状态查看命令:getenforce

selinux开启后强制模式和警告模式的切换:

setenforce  0 ==== permissive

setenforce  1 ==== enforcing

 四、SELinux的安全上下文

1、安全上下文的查看

ls  -Z                ##查看文件的安全上下文

ls  -Zd                ##查看目录的安全上下文

ps  auxZ                ##查看进程的安全上下文

 2、安全上下文的修改

临时修改

chcon  -t  标签  文件/目录        ##更改文件或目录的安全上下文

chcon  -Rt  标签  目录        ##更改目录及目录中内容的安全上下文

 此方式修改的安全上下文在系统(selinux)重启后后自动还原;这是因为更改的文件的安全上下文在内核安全上下文列表中无记载

永久更改

如果需要永久修改文件或目录的安全上下文,需要将修改的文件的安全上下文同步到内核安全上下文列表中

semanage  fcontext  -l                ##查看内核安全上下文列表

semanage  fcontext  -a  -t  public_content_t  '/linux(/.*)?'                ##添加内核级安全上下文列表'(/.*)?' 为固定搭配可目录使此及目录下的文件的安全上下文保持一致

restorecon  -RvvF  /linux                ##恢复SELinux文件属性即恢复文件的安全上下文(-R=递归;-F=指定文件;-v=显示过程)

五、Sebool

SELinux开启时内核会对程序的功能加载开关,此开关就叫做sebool值

getsebool  -a                ##查看程序功能的开关状态

setsebool  -P  ‘功能’  on/off                ##更改程序功能的开关状态

六、Seport

selinux开启时,内核会限制程序、服务使用的端口

semanage  port  -l                ##查看程序使用的端口

可以通过以下方式修改端口:

服务文件修改端口

将httpd服务的端口在其配置文件中修改为12,重启服务失败;这是因为selinux限制了httpd服务使用的端口范围,在将selinux更改为警告模式后,httpd服务可以重启成功

内核安全上下文列表添加端口

semanage  port  -a  -t  http_port_t  -p  tcp  12                ##在内核安全上下文列表中添加服务端口

semanage  port  -d  -t  http_port_t  -p  tcp  12                ##在内核安全上下文列表中删除服务端口

如上图,在内核安全上下文中添加http服务使用的端口号之后,在selinux=enforcing状态下也可以成功重启服务

七、setroubleshoot

setoubleshoot是SELinux的排错软件工具;其可以采集selinux的日志/var/log/audit/audit.log 中的警告信息并分析得到解决方案存放至 /var/log/messages 中

 

李牛克斯小学生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux----内核火墙SELinux简介
李笑男的博客
02-11 1030
什么是SELinux: 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 二、selinux的模式 vim /etc/selinux/config ...
Linux内核加强型火墙的管理(Selinux
weixin_47408850的博客
11-14 765
一、Selinux的状态及管理 1、selinux的开启和关闭 SELINUX=disabled #selinux关闭 SELINUX=enforcing #selinux开机设定为强制状态此状态为selinux开启 SELINUX=permissive #selinux开机设定为警告状态此状态为selinux开启 enforcing: 不符合条件一定不能被允许,并会收到警告信息 permissive: 不符合条件被允许,并会收到警告信息 注:sel...
Linux Kernel -- SElinux 与 socket
500
07-24 558
这篇文章我只是想弄明白socket()为什么在X86上需要root才能调用而非Arm上的 !root
linuxselinux内核加强型火墙
hetoto的博客
11-07 567
一.selinux是什么? selinux(secure linux):内核加强型火墙二.selinux支持的三种模式 enforcing  ##强制开启,警告且不允许 permissive ##警告开启,警告且允许 disabled   ##关闭三.如何切换 开启和关闭模式切换,需要重新启动 两种开启模式可以相互转换,不需要重启动 setenforce 0 ##警告 setenforce 1 ...
23.Linux内核SELinux简析(简介、安全上下文、SELinux的布尔值、SELinux报错解决)
愿你走出半生,归来仍是少年!
02-19 1780
1.SELinux简介 1)SELinux 全称 Security Enhanced Linux (安全强化 Linux),是美国国家安全局2000年以 GNU GPL 发布,是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统 的用途在于增强系统抵御 0-Day 攻击(利用...
linux内核火墙SELINUX
dlin33的博客
11-05 254
SElinux是基于内核开发出来的一种安全机制,被称之为内核加强型火墙,有力的提升了系统的安全性。 SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能linux系统使用 getenforce 命令可以查看selinux的状态:   disabled 为关闭状态,对服务和功能都没有限制   enforcing 为强制状态,对服务和功能都...
Linux内核加强型火墙的管理
weixin_44717560的博客
11-19 1059
Linux内核加强型火墙的管理一、selinux的状态及管理1.selinux的开启(永久性)2.临时修改selinux状态二、Selinux的安全上下文1.查看2.修改安全上下文1.临时修改2.永久改变三、SEBOOL和SEPORT的更改1.SEBOOL2.SEPORT的更改四、setrouble1.先将查找错误的工具卸载掉2.将setroubleshoot-server.x86_64装上 一、selinux的状态及管理 1.selinux的开启(永久性) vim /etc/selinux/confi
第二单元 Linux内核加强型火墙的管理
gk12050802的博客
11-04 114
一.Selinux功能 1.观察现象 当Selinux未开启时在/mnt建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf 举例: [roo...
Linux内核加强型火墙的管理(Selinux功能、状态管理、安全上下文的修改、Sebool、Seport、排错工具)
S_K15的博客
06-02 447
Linux内核加强型火墙的管理一、Selinux功能1、实验环境2、观察现象3、selinux的影响二、Selinux的状态及管理1、selinux的开启2、selinux状态的查看与转换三、Selinux的安全上下文1、查看安全上下文2、修改安全上下文 一、Selinux功能 1、实验环境 (1)关闭selinux,然后重启 vim /etc/selinux/config reboot (2)安装vsftpd并设定开机启动,添加到火墙 dnf install vsftpd -y systemct
Linux内核加强型火墙管理
qq_47656380的博客
08-31 242
selinux功能 观察现象,当selinux未开启时 在/mnt下创建文件再移动到/var/ftp,用ls -Z 查看 用ps -auxZ | grep vsftp查看 尝试在客户端连接 修改配置文件匿名用户可以写入目录 当selinux开启时 vim /etc/selinux/config(开启后reboot重启) 在/mnt创建文件并移动到/var/ftp/ 用vsftp服务无法访问 使用ls -Z 查看 ps -auxZ | grep vsftp查看 匿名用户在通过修改配置文件
linux-selinux功能及源码分析
03-22
该书详细介绍了linux关于selinux部分功能的实现流程和关键代码分析
linux 内核 杀毒,linux内核火墙SElinux
weixin_42365346的博客
05-05 152
SElinux是基于内核开发出来的一种安全机制,被称之为内核加强型火墙,有力的提升了系统的安全性。SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能linux系统使用getenforce命令可以查看selinux的状态:Disabled为关闭状态,对服务和功能都没有限制Enforcing为强制状态,对服务和功能都进行限制Permissive为警告状态,服务和功...
selinux 系统内核文件
Antonhu的博客
02-28 215
selinux开启: 在/mnt建立文件被移动到/var/ftp 下不可以被vsftpd服务访问 匿名用户可以通过设置后仍然不能上传文件 当使用 ls -Z /var/ftp 查看文件时显示信息 ps auxZ | grep vsftp.conf时显示: selinux: 对于文件的影响 二.selinux 的状态及管理 1.selinux 的开启 vim /etc/selinux/config SELINUX=disable #selinux关闭 SELINUX=enforcing #s
selinux在android用法以及内核代码实现
u014089131的博客
06-09 2165
selinux(security enhance linux)是由美国国家安全局开发的, 用来进行强制访问控制,增强linux系统安全性。 传统的linux访问控制采用的是DAC(Discretionary Access Control)模型, 这里面主要用的是uid控制。 在linux系统里,对于文件的操作,只有「所有者」,「所有组」,「其他」这3类的划分。 文件所有者对文件有所有
SElinux下通过setroubleshoot工具排错
weixin_33973609的博客
06-02 2355
setroubleshoot是查看SElinux日志报错的命令,对于这个命令的用法,本人现总结如下,如有有用得着的朋友,可以瞅瞅哦1.首先查看一下个个的主机上是否安装了setroubleshoot,如果没有安装 则yum安装就行了(yum的配置暂不赘述)2.检查是否有安装http vsftp 若没有安装,则也先要安装下3.重启httpd服务 service httpd...
SELINUX工作原理
weixin_42082222的博客
12-24 467
SELINUX工作原理 1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。     Security-Enhanced Linux (SELinux)由以下两部分组成:     1) Kernel SELinux模块(/kernel/security/selinux)     2) 用户态工具     SELinux是一个安全体系结构,它通过L...
linux内核火墙SElinux
Hguan07的博客
08-12 2202
SElinux是基于内核开发出来的一种安全机制,被称之为内核加强型火墙,有力的提升了系统的安全性。 SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能linux系统使用getenforce命令可以查看selinux的状态: Disabled为关闭状态,对服务和功能都没有限制 Enforcing为强制状态,对服务和功能都进行限制 Permissive
SELinux整理笔记
liguangxianbin的博客
05-25 5225
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
深入理解SELinux:安全增强型Linux教程
"这篇教程详细介绍了SELinux,一个由美国国家安全局(NSA)开发的安全增强型Linux系统。SELinux提供了一种不同于传统UNIX系统基于用户权限管理的机制,实现了更加细致的授权控制。它主要包含两个核心概念:自主存取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值