Linux安全策略selinux详解

已于 2024-01-09 08:02:45 修改
阅读量1.2k 收藏 3
点赞数
分类专栏: Linux SRE 运维部署与监控 系统性能指标 故障排除 文章标签: linux 运维 服务器
于 2022-08-07 17:38:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126205363
版权
本文详细介绍了Linux安全强化机制SELinux,包括其作为强制访问控制(MAC)的原理,与传统DAC的区别,以及其在CentOS/RHEL中的应用。文章讲解了安全上下文、策略、工作模式和实例,阐述了如何通过修改策略和上下文来解决权限问题,并提到了日志管理。通过实际例子展示了SELinux如何限制进程对文件的访问,并提供了错误排查和解决方法。
摘要由CSDN通过智能技术生成

1、selinux 简介

系统资源都是通过进程来读取更改的,为了保证系统资源的安全,传统的Linux使用用户、文件权限的概念来限制资源的访问,通过对比进程的发起用户和文件权限以此来保证系统资源的安全,这是一种自由访问控制方式(DAC);但是随着系统资源安全性要求提高,出现了在Linux下的一种安全强化机制(SELinux),该机制为进程和文件加入了除权限之外更多的限制来增强访问条件,这种方式为强制访问控制(MAC)。这两种方式最直观的对比就是,采用传统DAC,root可以访问任何文件,而在MAC下,就算是root,也只能访问设定允许的文件。

SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。

SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中,因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。

现在主流发现的Linux版本里面都集成了SELinux机制,CentOS/RHEL都会默认开启SELinux机制。

工作原理如下图:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
SELinux详解-中文版.pdf
10-18
讲解selinux的作用,生效机制,并详细介绍了如何编写selinux策略模块 中文版
linux内核安全策略,SELinux 安全策略解析
weixin_29002961的博客
05-02 692
1、简介SELinux 是 Security-Enhanced Linux 的简称,是美国国家安全局(NSA=The National Security Agency) 和 SCC(Secure Computing Corporation)开发的基于 Linux 的一个强制访问控制安全模块扩展。原先是在 Fluke 上开发的,2000 年以 GNU GPL 协议发布。对于目前可用的 Linux 安...
Linux Selinux详解
最新发布
广阔天地,大有作为
09-10 1675
Linux SELinux是一种安全增强的Linux,它可以让用户和管理员对访问控制有更多的控制。它是一种标签机制,可以对文件和其他对象提供高级别的安全保护,防止未授权的进程或者没有必要访问的授权进程进行滥用。SELinux最初是由美国国家安全局(NSA)开发的,作为一系列使用Linux安全模块(LSM)的Linux内核补丁。SELinux于2000年发布给开源社区,并于2003年集成到上游Linux内核中。SELinux的工作原理是,它为系统上的应用程序、进程和文件定义了访问控制。
Linuxselinux
二当家的
10-31 283
SELinux 的运作模式 主体 (Subject):SELinux 主要想要管理的就是程序,因此你可以将『主体』跟 process 划上等号; 目标 (Object): 主体程序能否存取的『目标资源』一般就是文件系统。因此这个目标项目可以等文件系统划上等号; 政策 (Policy): 由于程序与档案数量庞大,因此 SELinux 会依据某些服务来制订基本的存取安全性政策。这...
Linux中的SELinux
shinfocom
08-25 190
SElinux的前身是NSA(美国国家安全局)发起的一个项目。它的目的是将系统加固到可以达到军方级别。 为什么NSA选择Linux呢? 在目前市面上大多数操作系统都是商用闭源的,只有Linux是开源的,这样修改并加入这项功能就方便许多,而且没有版权纠纷。所以,现在selinux就成为了Linux内核的一部分。 在了解selinux之间,我们需要知道DAC和CS的概念,它们是linux...
linux初学者-SElinux
weixin_30335575的博客
12-29 258
linux初学者-SElinuxSElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 1、SElinux的状态 命令"getenforce"可以查看SElinux的状态,SElinux的状态分为以下三种...
SELinux详解.pdf
01-15
"SELinux详解" SELinux(Security-Enhanced Linux)是一种基于 Linux 的安全增强系统,旨在提供一个安全、可靠的计算环境。在这本书中,我们将详细介绍 SELinux 的概念、架构、机制和策略语言,帮助读者理解和掌握 ...
Linuxselinux基础配置教程详解
09-15
Linux系统中,Security-Enhanced LinuxSELinux)是一个重要的安全子系统,它通过强化内核来增强系统的安全性。本文将深入讲解如何在Linux环境中配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **...
Linux系统安全加固:深入防火墙与SELinux策略
w651428055的博客
08-16 943
防火墙的精细配置确保了网络访问的合法性和可控性,而SELinux的策略调整则加强了系统的内部安全性,限制了进程对资源的不当访问。在实际操作中,系统管理员和用户应根据自身系统的具体需求和网络环境,灵活调整防火墙规则和SELinux策略,以实现最佳的安全防护效果。SELinux是一种强制访问控制(MAC)机制,通过定义严格的安全策略,限制进程对系统资源的访问,从而增强系统的内部安全性。提供了更现代、更灵活的接口,支持动态规则管理和丰富的区域(zones)概念,适用于复杂的网络环境。
linux下的selinux
someone12的博客
08-18 439
一.selinux简介 selinux:内核级加强型防火墙 二.selinux状态控制 1./etc/sysconfig/selinux    ##selinux状态控制文件(开关) SELINUX=enforing    ##强制模式,也就是打开了,生效了。 SELINUX=permissive    ##警告模式 SELINUX=disabled    ##关闭模式 设置保存完后,需要...
LinuxSELinux
qq_57289939的博客
09-07 1776
SELinux(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统,用于各个服务进程都受到约束,使其仅获取到本应获取的资源例如--- 电脑上下载了一个美图软件,当您全神贯注地使用它给照片进行美颜的时候,它却在后台默默监听着浏览器中输入的密码信息,而这显然不应该是它应做的事情。
selinux
windowsworld的博客
05-06 708
selinux级别的不同对服务的影响 selinux是内核上的一个插件 vim /etc/sysconfig/selinux 配置文件 SELINUX=XXXX(disabled,enforcing) 作用: 1.给文件加上一个标签,不符合标签的文件无法访问 2.给功能加上一个开关 未修改selinux为强制前(disabled),可以上传文件,新建的文件也可以看到 修改selinix为强制...
Linux服务之selinux
weixin_54822053的博客
09-25 571
selinux之前是基于自主存取控制方法DAC,只要符合权限即可,通过suid和sgid特殊权限存在有一定的安全隐患,甚至一些错误的配置就会引发巨大的漏洞,被轻易攻击。selinux是基于强制存取控制方法MAC,应用程序或用户必须同时符合DCA既要对应selinux的MAC才能正常操作,否则遭到拒绝。MAC:强制访问控制,主体是程序,访问目标文件,由文件权限和策略决定。DAC:自主访问控制,主体是用户,访问目标文件,由文件本身权限决定的。在权限基础上,定义各种所属类型,类型不匹配将拒绝。
linux下的selinux详解
chitung_hsu的博客
02-29 820
linux下的selinux详解 一、selinux的功能 selinux是内核级的加强型火墙。 1。当selinux开启后,会给系统中的每一个文件以及每一个程序加载安全上下文,具有特定安全上下文的程序只能访问特定安全上下文的文件。 2 当selinux开启会对服务本身相对不安全的功能加载开关sebool并且设定开关为关闭状态以保证服务安全性 当需要此功能时需要超级用户手动调节 二.selinux...
Linux SELinux讲解
m0_49864110的博客
02-25 4366
之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作。SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作。SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)查看selinux状态(包含策略类型)
linux SELinux介绍
Stouy的博客
05-27 316
SELinux介绍     SELinux: Secure Enhanced Linux, 是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的 Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中    DAC:Discretiona...
Linux Selinux机制
四儿家的小祖宗的博客
03-22 882
主要介绍linux selinux机制,另举例解释如何添加selinux规则
SELinux整理笔记
liguangxianbin的博客
05-25 5310
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
Linuxselinux详解
huaz_md的博客
03-10 3539
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其中u代表user。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值