SELinux Learning

已于 2022-05-27 13:40:52 修改
阅读量271 收藏
点赞数 1
分类专栏: 笔记 文章标签: linux 运维 服务器
于 2022-05-23 15:08:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25346431/article/details/124927610
版权

目录

交叉编译SELinux

嵌入式环境配置

内核配置

文件系统配置

boot参数配置

参考资料

交叉编译SELinux

参考附件《selinux交叉编译-Linux文档类资源-CSDN下载

设备起来之后,将编译组建拷贝到文件系统中:

cp -afr ./build/audit/bin/* /bin/
cp -afr ./build/audit/etc/* /etc/
cp -afr ./build/audit/include/* /usr/local/include/
cp -afr ./build/audit/lib/* /lib/
cp -afr ./build/audit/libexec/* /usr/libexec/
cp -afr ./build/audit/sbin/* /sbin/
cp -afr ./build/audit/share/* /usr/share/
cp -afr ./build/bzip2/bin/* /bin/
cp -afr ./build/bzip2/include/* /usr/local/include/
cp -afr ./build/bzip2/lib/* /lib/
cp -afr ./build/bzip2/man/* /usr/share/
cp -afr ./build/cap-ng-0.8.3/bin/* /bin/
cp -afr ./build/cap-ng-0.8.3/include/* /usr/local/include/
cp -afr ./build/cap-ng-0.8.3/lib/* /lib/
cp -afr ./build/cap-ng-0.8.3/share/* /usr/share/
cp -afr ./build/db-5.3.28/bin/* /bin/
cp -afr ./build/db-5.3.28/docs/ /usr/share/
cp -afr ./build/db-5.3.28/include/* /usr/local/include/
cp -afr ./build/db-5.3.28/lib/* /lib/
cp -afr ./build/libselinux/include/* /usr/local/include/
cp -afr ./build/libselinux/lib/* /lib/
cp -afr ./build/libselinux/sbin/* /sbin/
cp -afr ./build/libselinux/share/* /usr/share/
cp -afr ./build/libsemanage/bin/* /bin/
cp -afr ./build/libsemanage/etc/* /etc/
cp -afr ./build/libsemanage/include/* /usr/local/include/
cp -afr ./build/libsemanage/lib/* /lib/
cp -afr ./build/libsemanage/libexec/* /usr/libexec/
cp -afr ./build/libsemanage/sbin/* /sbin/
cp -afr ./build/libsemanage/share/* /usr/share/
cp -afr ./build/libsemanage/usr/* /usr/
cp -afr ./build/libsemanage/var/* /var/
cp -afr ./build/openldap-2.6.2/bin/* /bin/
cp -afr ./build/openldap-2.6.2/etc/* /etc/
cp -afr ./build/openldap-2.6.2/include/* /usr/local/include/
cp -afr ./build/openldap-2.6.2/lib/* /lib/
cp -afr ./build/openldap-2.6.2/libexec/* /usr/libexec/
cp -afr ./build/openldap-2.6.2/sbin/* /sbin/
cp -afr ./build/openldap-2.6.2/share/* /usr/share/
cp -afr ./build/openldap-2.6.2/var/* /var/
cp -afr ./build/openssl-master/bin/* /bin/
cp -afr ./build/openssl-master/include/* /usr/local/include/
cp -afr ./build/openssl-master/lib/* /lib/
cp -afr ./build/openssl-master/share/* /usr/share/
mkdir -p /etc/pki/
mkdir -p /etc/ssl/
cp -afr ./build/openssl-master/ssl/ /etc/pki/tls
cd /etc/ssl/
ln -s /etc/pki/tls/certs certs
cp -afr ./build/pcre2/bin/* /bin/
cp -afr ./build/pcre2/include/* /usr/local/include/
cp -afr ./build/pcre2/lib/* /lib/
cp -afr ./build/pcre2/share/* /usr/share/
cp -afr ./build/perl5/bin/* /bin/
cp -afr ./build/perl5/lib/* /lib/
cp -afr ./build/perl5/share/* /usr/share/
cp -afr ./build/selinux/include/* /usr/local/include/
cp -afr ./build/selinux/lib/* /lib/
cp -afr ./build/selinux/sbin/* /sbin/
cp -afr ./build/selinux/share/* /usr/share/
cp -afr ./build/selinux/etc/* /etc/
cp -afr ./build/selinux/libexec/* /usr/libexec/
cp -afr ./build/selinux/bin/* /bin/
cp -afr ./build/selinux/usr/* /usr/
cp -afr ./build/selinux/var/* /var/
cp -afr ./build/sepol-3.4/bin/* /bin/
cp -afr ./build/sepol-3.4/include/* /usr/local/include/
cp -afr ./build/sepol-3.4/lib/* /lib/
cp -afr ./build/sepol-3.4/share/* /usr/share/

bin_aarch64=`find bin/ -name aarch64-* -type f`
for i in $bin_aarch64
do
mv $i bin/${i##*-}
done

sbin_aarch64=`find sbin/ -name aarch64-* -type f`
for i in $sbin_aarch64
do
mv $i sbin/${i##*-}
done

嵌入式环境配置

内核配置

AUDIT(审计):CONFIG_AUDIT

SECURITY:CONFIG_SECURITYFS、、CONFIG_SECURITY_SELINUX、CONFIG_SECURITY_SELINUX_DISABLE、CONFIG_SECURITY_SELINUX_DEVELOP、CONFIG_DEFAULT_SECURITY_SELINUX、CONFIG_DEFAULT_SECURITY=“selinux”、关闭CONFIG_SECURITY_SELINUX_BOOTPARAM(去掉boot配置selinux=来使能selinux)

filesystem:CONFIG_EXT4_FS_SECURITY、CONFIG_EXT2_FS_SECURITY、CONFIG_EXT2_FS_SECURITY、CONFIG_F2FS_FS_SECURITY

network:CONFIG_SECURITY_NETWORK、CONFIG_NETWORK_SECMARK、CONFIG_IP_NF_SECURITY

文件系统配置

主要是挂在文件系统:
mount -t selinuxfs nodev /sys/fs/selinux/
mount -t securityfs nodev /sys/kernel/security/

boot参数配置

setenv bootargs 'console=ttyAMA0,9600n8 earlycon=pl011,0x87e028000000 maxcpus=24 rootwait rw coherent_pool=16M default_hugepagesz=2M iommu.passthrough=1 pkt-memory=32M@0 isolcpus=1-22 nohz_full=1-22 rcu_nocbs=1-22 cpuidle.off=1 quiet rsvMemBaseAddr=8M@0x3f8000000 ip=1.1.1.8:1.1.1.1:: audit=1 security=selinux selinux=1'

在boot参数中增加audit=1 security=selinux selinux=1,如果未开启CONFIG_SECURITY_SELINUX_BOOTPARAM,则去掉selinux=1

参考资料

嵌入式linux集成selinux - bert_qin - 博客园

LSM(Linux Security Modules)框架原理解析_pwl999的博客-CSDN博客_linux lsm

SELinux — The Linux Kernel documentation

https://elinux.org/images/0/0a/ELC_Inside_LSM.pdf

Security Documentation — The Linux Kernel documentation

qq_25346431
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android SElinux 总结--启用,关闭以及配置文件说明,很详细,值得学习
lqxandroid2012的专栏
08-21 2万+
转自 http://blog.csdn.net/bin_linux96/article/details/44993819  1. 禁止selinux  1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX 1.2 还可以在system.prop中定义ro.boot.selinux=disable 这两种方法都可以禁用selinux,也可以设置成ro.bo
NXP iMX8集成SELinux支持
toradexsh的博客
03-02 1008
By Toradex胡珊逢 SELinux 是 Security-Enhanced Linux 的简称,它是为 Linux 提供安全子系统的内核模块。其主要作用是控制进程对资源的访问,在基于用户权限的 DAC 之外对进程提供更加精细的强制访问控制( MAC)。在常见的 Linux 发行版中 SELinux 功能可以通过安装相应的软件来开启,但在嵌入式 Linux 设备上往往需要重新生成 BSP。本文接下来将介绍如何使用 Yocto 为 Apalis iMX8 计算机模块生成支持 SELinux 的 BSP
linux将策略模式更改disable,误将SELINUXTYPE看成SELINUX后,将其值改为disabled。导致操作系统服务启动,无法进入单用户模式...
weixin_30376627的博客
05-12 1309
环境:Redhat 6.4ORACLE11g RAC在安装ORACLE11g之前需要关闭操作系统的防火墙和SELinux。1、关闭防火墙:iptables -F————————————清除防火墙策略service iptables stop———————关闭防火墙服务chkconfig iptables off—————— 禁止防火墙服务开机自启动2、关闭SELinux应修改配置文件/etc/se...
linux 交叉编译环境配置
路过的熊的博客
12-23 3031
1.下载软件 下载压缩包gcc-linaro-arm-linux-bnueabihf-4.9-2014.07_linux.tar存放在一个目录下,这个目录就是你等会解压缩的目录,以后这个目录就不能随便删掉了。 2.解压软件 使用tar命令:tar xvf gcc-linaro-arm-linux-gnueabihf-4.9-2014.07_linux.tar将Sourcefiletools文件夹下的gcc-linaro-arm-linux-gnueabihf-4.9-2014.07_linux.tar解压缩
SELinux如何永久禁用
liangkk的博客
03-19 6840
1、SELinux介绍 Linux被认为是当今最安全的操作系统之一,这是因为它杰出的安全特性,如SELinux(安全增强的Linux)。 对于初学者,SELinux被描述为在内核中执行的强制访问控制(MAC)安全结构。SELinux提供了一种强制执行某些安全策略的方法,否则系统管理员将无法有效地实现这些策略。当您安装RHEL/CentOS或其他衍生工具时,SELinux服务是默认启用的,因此您系统上的一些应用程序可能不支持这种安全机制。因此,要使此类应用程序正常运行,必须禁用或关闭SELinux
Linux Selinux机制
最新发布
四儿家的小祖宗的博客
03-22 674
主要介绍linux selinux机制,另举例解释如何添加selinux规则
编译 SELinux 政策
一步一个脚印
08-18 2170
本文介绍了如何编译 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行编译。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策编译流程合并了所有 sepolicy 片段,然后在根目录中生成了整体文件。这意味着 SOC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/B 设备)或...
交叉编译工具arm-linux-gcc&arm-elf-gcc下载地址全集
rockly89的博客
04-09 2951
最常用的编译版本是arm-linux-gcc-3.4.1 和 arm-linux-3.3.2 的,现在的嵌入式开发基本上用的是这些,3.4.1的用于编译2.6的内核,而3.3.2的常用于编译busybox,和bootloader(u- boot),编译的版本配合不好的话就会出错,所以要选择好编译版本,如果这个版本不行的话,可以试试其他的版本,在uclinux上用的多的就是 arm-elf-to
嵌入式linux vi 版本,交叉编译Vim并移植到ARM嵌入式Linux系统
weixin_39918145的博客
05-09 276
众所周知,Vim是vi的增强版本,实际体验要比vi好用很多,由于笔者为ARM系统制作的基于busybox的文件系统中只带了vi工具,本文主要介绍怎么移植Vim工具到基于busybox的制作的rootfs中。一、编译环境:Host机:Ubuntu-16.10(64bit)Target: arm交叉工具链:arm-linux-gnueabi-gcc工具包:ncurses-5.9.7 与 vim-7.4...
linux 内核基础库,基础库- libselinux
weixin_36161071的博客
05-02 1161
SELinux 的共享库本软件包提供了增强安全性的 Linux (SELinux) 的共享库。SELinux 包括 Linux 内核的一个补丁和一组提升了安全性的实用程序,用来给 Linux 增加强制性的访问控制。 SELinux 内核包含原本为增强 Flask 操作系统的安全性而设计的新的架构组件。这些架构组件提供了对很多种强制访问控制策略的强制执行的一般性支持,包括那些基于类型强制执行、基于角...
SELinux:编译加载源码和模块
code/decode的博客
04-01 6058
在https://koji.fedoraproject.org/koji/packageinfo?packageID=32下载代码包,根据http://selinuxproject.org/page/NB_RefPolicy#Building_the_Fedora_Policy教程进行编译安装。安装完成功后,可以在/etc/selinux/看到新增了一个目录:refpolicy-rhczx,这个策略
linux编译动态库链接,解决Linux程序编译链接动态库版本的相关问题
weixin_39522698的博客
05-01 229
解决Linux程序编译链接动态库版本的相关问题发布时间:2017-03-06 09:08来源:互联网当前栏目:web技术类前言不同版本的动态库可能会不兼容,如果程序在编译时指定动态库是某个低版本,运行是用的一个高版本,可能会导致无法运行。Linux上对动态库的命名采用libxxx.so.a.b.c的格式,其中a代表大版本号,b代表小版本号,c代表更小的版本号,我们以Linux自带的cp程序为例,通...
Android修改分区格式为F2FS
azhengye的专栏
12-11 1万+
本文介绍如何将Android系统的/data分区改变成F2FS格式。修改的原因是F2FS分区格式拥有更加的I/O性能。
SELinux开启与关闭各参数说明
热门推荐
求索
01-08 1万+
一,目前系统文件权限的管理有两种:DAC(传统的) 和 MAC(SELinux) 总结:DAC是以用户为出发点来管理权限的       MAC是以程序为出发点来管理权限的 1,传统的文件权限与帐号关系:自主式存取控制, DAC(Discretionary Access Control, DAC) 简单理解DAC就是rwx!因此,当某个程序想要对文件进行存取时, 系统就会根据该程序的拥有者/
SELinux学习笔记
ymz641的专栏
12-31 1674
一、概念引入: DAC(Discretionary Access Control):自主访问控制。在这种形式下,决定一个资源是否能被访问的因素是对应用户是否有该资源的权限(读、写、执行)。只要访问这个资源的进程符合以上的条件就可以被访问。其中root 用户不受任何管制,系统上任何资源都可以无限制地访问。 MAC(Mandatory Access Control):强制访问控制。决定一个资源是否能被访问的因素除了用户权限之外,还需要判断对应的进程是否同样拥有对该资源的访问权限。即使进程是以 root 身份运行
常用工具软件的交叉编译问题
a746742897的博客
11-14 3507
常用工具软件的交叉编译,持续更新。。。 iproute2、libsocketcan、canutils参考网址: 1、http://www.embedu.org/Column/Column596.htm 2、http://processors.wiki.ti.com/index.php/AM335X_DCAN_Driver_Guide#CAN_Utilities 一、libsoc
Spring Security --SecurityConfig的详细配置
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security的配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
Linux添加quiet参数,内核添加参数设置
weixin_30967451的博客
05-05 1545
转载时请注明出处和作者联系方式文章出处:http://blog.chinaunix.net/uid/30230931.html作者联系方式:JonLee <409775514@qq.com>内核打印信息含有时间戳方法一(配置后需要重新编译kernel)1. make ARCH=arm menuconfig2. Kernel hacking --->printk and dmes...
selinux
tmjdone的专栏
12-22 361
semanage fcontext -a -t httpd_sys_content_t file [restorecon -v file
SELinux管理与配置指南
"这篇文档是关于SELinux的详细操作手册,涵盖了从基础概念到实际运用的多个方面,适合对Linux系统安全感兴趣的读者学习。" SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值