6.6.3、SELinux 的工作模式:Disabled、Permissive、Enforcing

于 2024-04-09 13:00:00 发布
阅读量1.1k 收藏 12
点赞数 6
分类专栏: Linux 入门与进阶(含 Shell编程) 文章标签: linux 网络 开发语言 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66491750/article/details/137534587
版权

关注公众号 “融码一生”,领取全套 PDF / 电子书

  • 传统 Linux 系统使用访问控制方式的基础上,附加使用 SELinux 可增强系统安全。 在解释 SELinux 的工作模式之前先了解几个概念:
    • 主体(Subject):想要访问文件或目录资源的进程
      • 想要得到资源的基本流程:由用户调用命令,由命令产生进程,由进程去访问文件或目录资源。
      • 在自主访问控制系统中(Linux 默认权限中)靠权限控制的主体是用户
      • 在强制访问控制系统中(SELinux 中),靠策略规则控制的主体是进程
    • 目标(Object):需要访问的文件或目录资源
    • 策略(Policy):Linux 系统中进程与文件的数量庞大,限制进程是否可以访问文件的 SELinux 规则数量就更加烦琐,如果每个规则都需要管理员手工设定,则 SELinux 的可用性就会极低。SELinux 默认定义了两个策略(规则都已经在这两个策略中写好,默认只要调用策略就可以正常使用):
      • -targeted:SELinux 的默认策略,主要限制网络服务,对本机系统的限制极少(我们使用这个策略已经足够)
      • -mls:多级安全保护策略,这个策略限制得更为严格
    • 安全上下文(Security Context):每个进程、文件和目录都有自己的安全上下文,进程具体是否能访问文件或目录,要看这个安全上下文是否匹配。如果进程的安全上下文和文件或目录的安全上下文能匹配,则该进程可以访问这个文件或目录。判断进程的安全上下文和文件或目录的安全上下文是否匹配需要依靠策略中的规则。举个例子,我们需要找对象,男人可以看作主体,女人就是目标了。而男人是否可以追到女人(主体是否可以访问目标),主要看两个人的性格是否合适(主体和目标的安全上下文是否匹配)。两个人的性格是否合适需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断(安全上下文是否匹配是需要通过策略中的规则来确定的)。

  • 当主体想要访问目标时,如果系统中启动了 SELinux,则主体的访问请求首先需要和 SELinux 中定义好的策略进行匹配。
    • 如果进程符合策略中定义好的规则,则允许访问,这时进程的安全上下文就可以和目标的安全上下文进行匹配:
      • 如果比较失败,则拒绝访问,并通过 AVC(Access Vector Cache,访问向量缓存,主要用于记录所有和 SELinux 相关的访问统计信息)生成拒绝访问信息
      • 如果安全上下文匹配,则可以正常访问目标文件
    • 当然,最终是否可以真正地访问到目标文件,还要匹配产生进程(主体)的用户是否对目标文件拥有合理的读、写、执行权限。
  • 在进行 SELinux 管理时一般只会修改文件或目录的安全上下文,使其和访问进程的安全上下文匹配或不匹配,以控制进程是否可以访问文件或目录资源;很少会去修改策略中的具体规则,因为规则实在太多,修改起来过于复杂。不过,我们可以人为定义规则是否生效、控制规则的启用与关闭。
  • SELinux 提供了 3 种工作模式:Disabled、Permissive 和 Enforcing,而每种模式都为 Linux 系统安全提供了不同的好处。

1、Disable 工作模式(关闭模式)

  • Disable 模式中 SELinux 被关闭,默认的 DAC 访问控制方式被使用。该模式对于那些不需要增强安全性的环境非常有用。
  • 例如,若从你的角度看正在运行的应用程序工作正常,但却产生了大量的 SELinux AVC 拒绝消息,最终可能会填满日志文件,从而导致系统无法使用。这种情况下最直接的解决方法就是禁用 SELinux(当然,也可以在应用程序所访问的文件上设置正确的安全上下文)。
  • 注意:在禁用 SELinux 之前需考虑是否可能会在系统上再次使用 SELinux,如果决定以后将其设置为 Enforcing 或 Permissive,则当下次重启系统时系统将会通过一个自动 SELinux 文件重新进程标记。
  • 关闭 SELinux 的方式也很简单,只需编辑配置文件/etc/selinux/config,并将文本中SELINUX=更改为SELINUX=disabled即可,重启系统后SELinux 就被禁用。

2、Permissive 工作模式(宽容模式)

  • Permissive 模式中 SELinux 被启用,但安全策略规则并没有被强制执行;当安全策略规则应该拒绝访问时,访问仍然被允许;然而此时会向日志文件发送一条消息表示该访问应该被拒绝。
  • Permissive 模式主要用于以下几种情况:
    • 审核当前的 SELinux 策略规则
    • 测试新应用程序,看看将 SELinux 策略规则应用到这些程序时会有什么效果
    • 解决某一特定服务或应用程序在 SELinux 下不再正常工作的故障
  • 某些情况下,可使用 audit2allow 命令读取 SELinux 审核日志并生成新的 SELinux 规则,从而有选择性地允许被拒绝的行为,而这也是一种在不禁用 SELinux 的情况下让应用程序在 Linux 系统上工作的快速方法。

3、Enforcing 工作模式(强制模式)

  • 从此模式的名称就可以看出,在 Enforcing 模式中 SELinux 被启动,并强制执行所有的安全策略规则。

关注公众号 “融码一生”,领取全套 PDF / 电子书

SELINUX(Security-Enhanced Linux 安全增强型Linux)(EnforcingPermissiveDisabled
jixuczy的博客
04-18 545
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux中的selinux,磁盘管理
最新发布
2301_80926503的博客
03-20 1093
Linux中的selinux,磁盘管理
LINUX中错误 SELinux is disabled
oldmonk
07-13 1万+

 解决: setenforce: SELinux is disabled
 那么说明selinux已经被彻底的关闭了
 如果需要重新开启selinux,请按下面步骤:
 
 vi /etc/selinux/config
 更改为:SELINUX=1
 
 
 必须重启linux,不重启是没办法立刻开启s...
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
weixin_34029680的博客
06-04 1363
SElinux共有3中状态。1、selinux的配置文件:/etc/selinux/config# This file controls the state of SELinux on the system.  3 # SELINUX= can take one of these three values:  4 #     enforcing - SELinux security policy ...
SELinux3工作模式DisabledPermissiveEnforcing
随笔记录-分享&记忆
08-16 5377
文章目录SELinux是什么SELinux的作用安装SELinuxSELinux 3工作模式Disable[关闭]工作模式Permissive[宽容]工作模式Enforcing[强制]模式SELinux 3工作模式切换setenforce 切换模式SELinux 的运行模式的开启和关闭 SELinux是什么 SELinux,Security Enhanced Linux 的缩写,也就是安全强化的 Linux,是由美国国家安全局(NSA)联合其他安全机构(比如 SCC 公司)共同开发的,旨在增强传统 Li
selinux= 为 disabled_理解Linux下的SELinux
weixin_39631316的博客
11-26 3550
理解Linux下的SELinux长久以来,每当遇到授权问题或者新安装的主机,我的第一反应是通过setenforce 0命令禁用SELinux,来减少产生的权限问题,但是这并不是一个良好的习惯。这篇文章尝试对SELinux的基本概念和用法进行简单介绍,并且提供一些更深入的资料。Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Li...
SELINUX(Security-Enhanced Linux 安全增强型Linux)(EnforcingPermissiveDisabled)(targeted、minimum、mls)
Dontla的博客
02-22 1251
Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies, including United States Department of Defense-style mandatory(强制的、义务的) access controls (MAC).
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换
热门推荐
Tesi1a的充电桩
04-29 8万+
在Android的root相关的文章里经常会看到关于SElinux,Android4.3以后引进SElinuxSELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux 目前 SELinux 支持三种模式,分别如下: •enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了; •perm
selinux= 为 disabled_Selinux安全加固
weixin_39782752的博客
11-26 1552
Selinux介绍SELinux:Security-Enhanced Linux, 是美国国家安全局(NSA=TheNational Security Agency)和SCC(Secure ComputingCorporation)开发Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布, Linux内核版本后集成在内核中DAC:Discretionary Acces...
Disable SELinux
allway2的博客
08-04 1020
To check if SELinux is running/enforcing, run the following command: sestatus To disable SELinux, edit the file /etc/selinux/config, and change SELINUX=enforcing to SELINUX=disabled The following command will disable SELinux: sed -i 's/SELINUX\=enforci
selinuxEnforcing, PermissiveDisable这三种模式的区别
weixin_40991510的博客
04-15 1万+
1、如果要马上拒绝运行SELinux: [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce Permissive 这条命令会把SELinux设定成Permissive模式,其中setenforce 1会把SELinux设定成Enforcing模式 2.SELinux永久设定为Permissive模式 这里需要讲一下P...
selinux= 为 disabled_SELINUX工作原理
weixin_39772566的博客
11-26 2977
1. 简介SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。 Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security ...
调整selinux状态为disabled
Gblfy_Blog
12-05 4282
vim /etc/selinux/config setenforce 0
mysql 宽容模式_SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
weixin_27064205的博客
02-27 596
SElinux共有3中状态。1、selinux的配置文件:/etc/selinux/config# This file controls the state of SELinux on the system.3 # SELINUX= can take one of these three values:4 # enforcing - SELinux security policy is e...
linux必须运行在enforcing,设置 Selinux环境为 Enforcing模式
weixin_39988930的博客
05-01 1693
设置 Selinux环境为 Enforcing模式2019-02-20SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。1、vim /etc/selinux/configS...
How to disable SELinux
weixin_30808253的博客
10-09 177
参考两个文章: http://www.haw-haw.org/node/30:这个文章主要是说怎样disableSELinux http://www.crypt.gen.nz/selinux/disable_selinux.html:这个文章比较细的说明了相关问题。 我把两个都copy到这里来 文章一: selinux是个新东东 在linux kernel 2.6的系统(如as4...
centos7 关闭防火墙和selinux
qq_42750363的博客
09-18 6677
一、关闭防火墙 1、临时关闭(下次开机启动,自动启动防火墙) [root@localhost ~]# systemctl stop firewalld 2、查看防火墙状态 [root@localhost ~]# systemctl status firewalld 3、永久关闭防火墙(开机启动时不在启动) [root@localhost ~]# systemctl disable firewalld 二、关闭SElinux 1、查看se
SELinux permissive模式 设置
子燕若水的博客
10-25 7108
0、getenforce ##也可以用这个命令检查 关闭SELinux: 1、临时关闭(不用重启机器): setenforce 0 ##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 参考链接https://blog.csdn.net/tangsilian/article/details/80144112 ...
selinux= 为 disabled_微课 | 状态管理 SELinux(2)
weixin_39955351的博客
11-26 344
前导课程:微课 | 隔离机制 - SELinux(1)本次微课将学习SELinux的状态管理,包括视频+文字,大约需要你16分钟。另外,文末还有一则IT冷笑话,学习之余、会心一笑:)SELinux有三种状态:enforcing 强制模式,阻止违反规则的行为并记录到日志中permissive 宽容模式,不阻止违反规则的行为,仅记录到日志中disabled 关闭SELinux获得状态信息1 ...
Vue.js DevTools 6.6.3版本发布:快速安装与使用教程
资源摘要信息:"Vue.js Devtools 是一个专为 Vue.js 开发者设计的调试工具,适用于浏览器扩展环境,其中 6.6.3 是该工具的版本号。此版本的开发工具能够在开发者调试 Vue.js 应用程序时提供强大的功能,如组件检查、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

融码一生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值