Linux中的强制访问控制Selinux

最新推荐文章于 2024-07-18 08:05:18 发布
最新推荐文章于 2024-07-18 08:05:18 发布
阅读量2.8k 收藏 16
点赞数 2
分类专栏: Linux 文章标签: linux ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34267076/article/details/120090745
版权

工作当中都是默认关闭的
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统
SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限)

SELinux的作用:

SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。设想一下,如果一个以 root 身份运行的网络服务存在 0day 漏洞,黑客就可以利用这个漏洞,以 root 的身份在您的服务器上为所欲为了。是不是很可怕?SELinux 就是来解决这个问题的。

1.对内核对象和服务的访问控制
2.对进程初始化,继承和程序执行的访问控制
3.对文件系统,目录,文件和打开文件描述的访问控制
4.对端口,信息和网络接口的访问控制

在linux里所有的文件和进程都有一个值,这个值被称为安全值,当我满足或者匹配到这个安全值,那么才能进行访问。(http默认目录是在/var/www/html当我将这个默认的访问目录更改时你默认创建的 目录对应性另一个安全值,而我们默认访问的就是第一种安全值所以如果开启了selinux则不能访问更改后目录的东西)-------安全子系统

DAC

在没有使用 SELinux 的操作系统中,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。只要访问这个资源的进程符合以上的条件就可以被访问。而最致命问题是,root 用户不受任何管制,系统上任何资源都可以无限制地访问。这种权限管理机制的主体是用户,也称为自主访问控制(DAC)

MAC

在使用了 SELinux 的操作系统中,决定一个资源是否能被访问的因素除了上述因素之外,还需要判断每一类进程是否拥有对某一类资源的访问权限。这样一来,即使进程是以 root 身份运行的,也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。即使是以 root 身份运行的服务进程,一般也只能访问到它所需要的资源。即使程序出了漏洞,影响范围也只有在其允许访问的资源范围内。安全性大大增加。这种权限管理机制的主体是进程,也称为强制访问控制(MAC)
MAC 又细分为了两种方式,一种叫类别安全(MCS)模式(某一类服务程序的进程匹配目标资源对象,通过标签比对,在验证发起者用户是否对目标对象文件有相应的rwx),另一种叫多级安全(MLS)模式。

selinux的默认配置文件/etc/selinux/config,它是一个内核模块,修改了配置文件必须重启才能生效

在这里插入图片描述

1. enforcing:强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。
2. permissive:宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。
3. disabled:关闭 SELinux。

1. targeted:对大部分网络服务进程进行管制。这是系统默认使用的政策(下文均使用此政策)。
2. minimum:以 targeted 为基础,仅对选定的网络服务进程进行管制。一般不用。
3. mls:多级安全保护。对所有的进程进行管制。这是最严格的政策,配置难度非常大。一般不用,除非对安全性有极高的要求。

getenforce 可以查看级别
使用setenforce可以切换级别
setenforce 0 表示Permissive模式
setenforce 1 表示Enforcing模式

在这里插入图片描述

使用`ll -Z `查看selinux的值

在这里插入图片描述

用户身份:角色:类型(标签): 安全级别
这条语句通过:划分成了四段,第一段unconfined_u 代表的是用户,第二段 object_r 表示的是角色,第三段是SELinux中最重要的信息,admin_home 表示的是类型,最后一段 s0 是跟MLS、MCS相关的东西,暂时不需要管

①system_u指的是SElinux用户,root表示root账户身份user_u表示普通用户无特权用户,unconfined_u指未定义用户,system_u表示系统用户,通过用户可以确认身份类型,一般搭配角色使用。身份和不同的角色搭配时有权限不同,虽然可以使用su命令切换用户但对于SElinux的用户并没有发生改变,账户之间切换时此用户身份不变,在targeted策略环境下用户标识没有实质性作用。

②object_r一般为文件目录的角色、system_r一般为进程的角色,在targeted策略环境中用户的角色一般为system_r。用户的角色类似用户组的概念,不同的角色具有不同的身份权限,一个用户可以具备多个角色,但是同一时间只能使用一个角色。在targeted策略环境下角色没有实质作用,在targeted策略环境中所有的进程文件的角色都是system_r角色。

③admin_home文件和进程都有一个类型,SElinux依据类型的相关组合来限制存取权限Touch /.autorelabel 系统当中默认启用了selinux去读取一个文件,而这个文件里是否由内容他都要去读,读完之后它会给这些系统默认的文件设置安全值

④s0 没有启动多级安全

ll -Z 查看标签

[root@localhost ~]# ll -Z file
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 0 Sep  3 14:46 file
[root@localhost ~]# touch /newfile
[root@localhost ~]# ll /newfile -Z
-rw-r--r--. 1 root root unconfined_u:object_r:etc_runtime_t:s0 0 Sep  3 14:47 /newfile
[root@localhost ~]#

在这里插入图片描述

//改标签值 临时生效,重启还是在,可以回笼
[root@localhost ~]# chcon -t etc_runtime_t file
[root@localhost ~]# ll -Z file
-rw-r--r--. 1 root root unconfined_u:object_r:etc_runtime_t:s0 0 Sep  3 14:46 file

在这里插入图片描述

/只能回笼到默认的标签值
[root@localhost ~]# restorecon -v file
Relabeled /root/file from unconfined_u:object_r:etc_runtime_t:s0 to unconfined_u:object_r:admin_home_t:s0
[root@localhost ~]# ll -Z file 
-rw-r--r--. 1 root root unconfined_u:object_r:admin_home_t:s0 0 Sep  3 14:46 file

在这里插入图片描述

chcon和semanage两个的区别:第一个临时生效,第二个需要回笼

[root@localhost ~]# semanage fcontext -a -t etc_runtime_t /test/a
[root@localhost ~]# ll -Z /test/a
-rw-r--r--. 1 root root unconfined_u:object_r:default_t:s0 0 Sep  3 14:57 /test/a
[root@localhost ~]# restorecon -v /test/a 
Relabeled /test/a from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:etc_runtime_t:s0
[root@localhost ~]# ll -Z /test/a
-rw-r--r--. 1 root root unconfined_u:object_r:etc_runtime_t:s0 0 Sep  3 14:57 /test/a
[root@localhost ~]# 

//查看端口标签类型
[root@localhost ~]# semanage port -l | grep -w 80
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000

在这里插入图片描述

//更改端口标签
[root@localhost ~]# semanage port -a -t http_port_t  -p tcp 8909

//查看selinux的布尔值

[root@localhost ~]# getsebool -a

在这里插入图片描述

//更改布尔值

布尔值
当你配置一个服务现在selinux也是开启的,所以你这个服务的有些功能是用不了的,而bool值相当于是一个开关,你把这个功能开关按上就好了

[root@localhost ~]# setsebool ftpd_anon_write on
[root@localhost ~]# setsebool ftpd_full_access on

selinux图形化界面
[root@localhost ~]# yum install policycoreutils-gui -y //安装软件包
[root@localhost ~]# system-config-selinux 启动服务

在这里插入图片描述
野原皮皮虾
关注
专栏目录
linuxselinux强制访问控制
Ying_smile的博客
05-16 5121
selinux selinux强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux,一切皆文件,由用户、组和权限来控制访问,在selinux,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
基于linux下的selinux强制访问控制
weixin_40172997的博客
11-11 994
         SELinux是Security-Enhanced Linux的简称,SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。 1.selinux状态 SELINUX有 enforcing   disable...
Apparmor——Linux内核强制访问控制系统
02-24 471
AppArmor 因为最近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现了Apparmor可以提供访问控制。 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux...
访问控制强制访问控制
最新发布
m0_73514785的博客
07-18 1469
例如,如果一个文件的安全级是{机密:NATO,NUCLEAR},用户的安全级为{绝密:NATO,NUCLEAR,CRYPTO},则该用户可以阅读这个文件,他的安全级别高于文件,且他的安全范畴集涵盖了文件的安全范畴集。由于许多应用的内在复杂性,在结合应用Biba模型和BLP模型时,人们不得不通过设置更多的范畴来满足这些复杂应用在机密性和完整性方面的需求,而这些不同性质的范畴在同时满足安全性和完整性目标方面是难以配合使用的,特别当保密性和完整性都受到充分的重视后,就很容易出现进程不能访问任何数据的局面。
Linux强制访问控制selinux讲解
雷雪松
04-06 846
SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。有些问题可能就因为这个引起的。查看SELinux状态: 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled 2、getenforce ##也可以用...
LinuxSeLinux-强制访问控制
无糖可乐没有灵魂
11-15 1039
SeLinux-强制访问控制 selinux是美国国家安全局(NSA)对于强制访问控制的实现,是linux上最杰出的新安全子系统。NSA是在linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。 selinux可以通过增强访问控制用户程序访问的最低权限: 对内核对象和服务的访问控制 对进程初始化,继承和程序执行的访问控制 对文件系统,目...
加固Linux系统----启用强制访问控制
weixin_34403693的博客
02-23 345
通过 SELinux 所实现的强制访问控制(或者说是 MAC),您可以获得进一步的安全性。使用 MAC,操作系统的许可由进程所属的 用户/组 ID 以及正要被访问的对象(文件)所属的 用户/组 ID 来管理。另外,使用 MAC,Linux强制为每个单独的进程执行这些策略,它们会控制进程可以做什么事情。 那样,在使用 MAC 进行适...
通用软件封装器在Linux强制访问控制的实现.pdf
09-06
【通用软件封装器在Linux强制访问控制的实现】 在Linux操作系统,传统的自主访问控制(Discretionary Access Control, DAC)允许用户对自己的资源有高度的控制权,但这种模式存在安全隐患,因为拥有权限的用户...
Apparmor??Linux内核强制访问控制系统
01-20
AppArmor  因为近在研究OJ(oline judge)后台的安全模块的实现,所以一直在研究Linux下沙箱的东西,同时发现...作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的
linux访问控制机制,Linux强制访问控制机制模块代码分析报告(一)
weixin_33601402的博客
05-14 368
原标题:Linux强制访问控制机制模块代码分析报告(一)总体描述概述强制访问控制机制是访问控制机制的一种,主要用于根据主体和客体的安全属性来限制主体对客体的访问,从而对系统的安全进行防护,该机制是强加给主体的,当主体对客体进行访问时,系统强制要求其必须满足强制访问控制策略,其原理如图1-1所示。对于强制访问控制机制,有多种模型可以用来描述其功能,其最具代表性的就是Bell-LaPadula模型(...
Linux桌面需要强制访问控制,闲话Linux系统安全(二)——强制访问控制(MAC)
weixin_29901323的博客
05-10 444
安全秘笈第二式——不安全的特殊权限和强制访问控制(MAC)在DAC的机制,不管是所有权加权限的管理办法,还是文件系统访问控制列表(facl),都是非常强大的访问控制机制,均可以对文件资源进行比较有效的访问控制。但DAC的自主性太强,可以说文件资源的安全在很大的程度上取决于使用者个人的意志,因此这种安全似乎就被主观化了。尤其是对于root用户而言,不管是权限和所有权的限制,还是facl的管理控制,...
Linux桌面需要强制访问控制,Linux强制访问控制机制模块详细描述(1)
weixin_39524574的博客
05-10 145
原标题:Linux强制访问控制机制模块详细描述(1)2 详细分析2.1模块功能描述对于SELinux实现的MLS,其主要通过安全级别对系统资源的访问进行限制,相关操作定义在security/selinux/ss/mls.c、security/selinux/ss/context.h及security/selinux/ss/mls_types.h,对于这些操作下面会进行详细介绍,这里不再赘述。2...
信息系统安全——Linux 访问控制机制分析
weixin_49816179的博客
01-14 1728
1、熟悉 Linux 基本访问控制机制使用和原理 2、熟悉 Linux S 位的作用和使用 3、熟悉强制访问控制 Selinux 原理及其使用
SElinux强制访问控制机制原理及验证
npu_nazi的博客
01-07 579
SElinux强制访问控制机制原理及验证
达梦数据库——强制访问控制使用
qq_44821411的博客
09-29 1879
达梦数据库强制访问控制功能的使用
Linux桌面需要强制访问控制,在 Linux 上用 SELinux 或 AppArmor 实现强制访问控制(MAC)...
weixin_35886636的博客
05-10 497
为了解决标准的“用户-组-其他/读-写-执行”权限以及访问控制列表[1]的限制以及加强安全机制,美国国家安全局(NSA)设计出一个灵活的强制访问控制(MAC)方法 SELinux(Security Enhanced Linux的缩写),来限制标准的权限之外的种种权限,在仍然允许对这个控制模型后续修改的情况下,让进程尽可能以最小权限访问或在系统对象(如文件,文件夹,网络端口等)上执行其他操作。SEL...
linux命令之用户与用户组
weixin_40645193的博客
09-06 589
1.1用户与组的概念 1.理解Linux多用户、多任务的特性 不同用户具有不同的权限,每个用户在权限允许的范围内完成不同的任务, Linux正是通过这种权限的划分与管理,实现了多用户多任务的运行机制。 2.Linux下用户的角色分类 在Linux下用户是根据角色定义的,具体分为三种角色 每个用户都有一个UID,并且是唯一的,通常UID号的取值范围是0~65535, a.管理员(超级用户):拥有对系统的最高管理权限 ,默认是root用户【0】 b.系统用户(虚拟用户): 也叫“伪”用户,这类用户最大特点是不能
Linux强制访问控制SELinux在系统安全策略的应用
同时,文档也提到了SELinuxLinux系统的应用,它是一种强制访问控制机制,增强了系统的安全性。" 文章主要围绕两个主题展开,首先是Synology DiskStation的安装与配置,然后是Linux系统的安全特性——SELinux。 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值