SELinux详解之第一章——基本介绍

最新推荐文章于 2023-09-26 19:48:25 发布
最新推荐文章于 2023-09-26 19:48:25 发布
阅读量4k 收藏 4
点赞数 1
分类专栏: SELinux 文章标签: linux selinux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41115702/article/details/106238211
版权

SELinux是什么?

SELinux全称Security Enhanced Linux(安全性增强Linux),意在现有的Linux系统中额外增加一层安全控制层面,主要就是在解决某某应用是否可访问某某文件的问题。SELinux通常是和Linux自带的DAC(目录权限控制)(也就是平常ls后看到的rwx之类的)一起工作。SELinux实现了MAC(强制访问控制),即为系统中每个文件和进程打上标签SELinux上下文标签,在进程对文件进行访问时,对标签进行检测,查看是否有可以访问。

使用SELinux的好处

  • 所有进程和文件均会被SELinuxSELinux策略规则定义了进程与文件的交互方式以及进程之间的交互方式。仅当存在专门允许访问的SELinux策略规则时,才允许访问。
  • 提供细粒度的访问控制。 SELinux访问决策超越了由用户自行决定并基于Linux用户和组ID控制的传统UNIX权限,它基于所有可用信息,例如SELinux用户,角色,类型以及(可选)安全级别。
  • SELinux策略是在整个系统范围内由管理人员定义和实施的。
  • 改进了缓解特权升级攻击的方法。进程在域中运行,因此彼此分开。
  • SELinux策略规则定义了进程如何访问文件和其他进程。如果某个进程受到威胁,则攻击者只能访问该进程的正常功能,并且可以访问该进程已配置为有权访问的文件。例如,如果Apache HTTP Server受感染,除非添加或配置了特定的SELinux策略规则或允许这种访问,否则攻击者无法使用该过程读取用户主目录中的文件。
  • SELinux可用于强制执行数据机密性和完整性,并保护进程免受不受信任的输入。

注意:SELinux并不是防病毒软件,密码管理器,防火墙和其他安全系统的替代品。SELinux旨在增强现有的安全解决方案,而不是替代它们。即使在运行SELinux时,也必须继续遵循良好的安全惯例,例如使软件保持最新,使用难以猜测的密码或防火墙规则。

初步了解SELinux

以下操作以Centos 7为例,其他发行版Linux命令基本一致,只需注意包管理器的安装命令即可

启用SELinux

要使用SELinux,首先我们需要确保其是可用的,使用如下命令查看

[root@localhost ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          error (Success)
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31
# 如果没在运行我们需要设置为Permissive模式,然后重启
[root@localhost ~]# setenforce 0
Permissive

为了避免以下的操作出现,命令找不到的情况,我们先安装以下几个软件包:

[root@localhost ~]# yum install -y setools selinux-policy-devel setroubleshoot-server

然后我们需要确保 auditd and rsyslog守护进程是运行的。

[root@localhost ~]# systemctl enable auditd.service&&systemctl enable auditd.service

这两个守护进程是负责记录SELinux在运行过程中文件访问的AVC(Access Vector Cache)(其实就是被拦截的操作)信息的,拦截的信息一般会被记录在两个文件中。

  • /var/log/audit/audit.log,记录格式如下:
type=AVC msg=audit(1223024155.684:49): avc: denied { getattr } for pid=2000 comm="httpd"
path="/var/www/html/file1" dev=dm-0 ino=399185 scontext=unconfined_u:system_r:httpd_t:s0
tcontext=system_u:object_r:samba_share_t:s0 tclass=file
  • /var/log/message,记录格式如下:
May 7 18:55:56 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to
/var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l de7e30d6-
最低0.47元/天 解锁文章
Dask Jhonson
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LinuxSELinux
嚴 帅的博客
01-09 663
一、SELinux说明 SELinux是Security-Enhanced Linux的缩写,中文意思你是安全强化的linuxSELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用。 系统资源都是通过程序进行访问的,如果将/var/www/html/权限设置为777,代表所有程序均可对该目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以...
Linux系列十五-SELinux
努力就有希望
08-01 205
一、运行说明 主体:类似等同于进程 目标:一般是文件系统 策略: 1. targeted:针对网络服务限制较多,默认 2. strict:完整的SELinux限制 安全上下文:主体能不能访问目标除了策略指定外,主体与目标的安全上下文必须一致才能访问。设置错误,就无法访问,会提示权限不符。安全上下文放置在文件...
Linux内核学习笔记——SELinux介绍SELinux Policy是什么?)
ZP1015
07-01 2090
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍SELinux的基础框架;第二部分介绍SELinux的基础理论;第三部分简单介绍SELinux Policy。 本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。 一、SELinux Overview 1. SELinux 来源 SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation
selinux简介
08-30 994
一、SELinux简介 SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。 SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中,因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。 现在主流发现的Linux版本里面都集成了SELinux.
Linux进阶篇--SElinux
天空飘过的鱼的博客
09-09 509
Linux进阶篇–SElinux 本章概要 * SELinux概念 * 启用SELinux * 管理文件安全标签 * 管理端口标签 * 管理SELinux布尔值开关 * 管理日志 * 查看SELinux帮助 SElinux介绍 * SELinux: Secure Enhanced Linux, 是美国国家安全局(NSA=The National Security Agenc...
浅析linuxSElinux的targeted规则(Policy
完颜振江
02-11 3022
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖! 这里学习的是在规则targeted下的一些常用操作 1、查看本机的selinux的状态 [root@localhost
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的LinuxSELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍SELinux的作用、生效机制以及策略模块的编写,...
SELinux详解(带完整中文标签)
03-16
SELinux详解(带完整中文标签),不错的介绍selinux的文档
SELinux详解.pdf
01-15
SELinux 策略语言是 SELinux 的核心组件之一,用于定义和实施安全策略。SELinux 策略语言提供了详细的语法和语义规则,帮助读者编写和实施安全策略。我们将详细介绍 SELinux 策略语言的语法和语义规则,帮助读者掌握...
SELinux System - 2nd Edition + SELinux 详解 SEAndroid基础
01-23
通过阅读《SELinux System Administration -- 2nd Edition》和《SELinux详解》,读者将能够熟练地管理和维护一个配置良好的SELinux环境,提升系统和应用的安全性。这些书籍将帮助读者成为系统安全领域的专家,有效地...
Linux系统的安全模块Selinux总结
yolo_yyh的博客
11-15 2342
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这篇文章可以帮助大家如何定位selinux权限问题。
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
selinux-sepolicy配置
卓越之路
01-21 5304
一、概念 1. 运行模式 Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissivedomain。 语法格式 Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:m...
2019/02/26 SELinux02
qq_42227818的博客
09-29 129
targeted放了关于selinux的信息,比如安全上下文 default_type 默认类型,systemd_contexts 安全上下文 角色:类型(什么样的角色生成什么样的文件,有对应的类别 启用禁用selinux 启用 permissi相当于半禁用,等于selinux不起作用,但是违反了策略会报警,并不起到阻止你的作用 disable彻底禁用 可以临时切换状态 sestatu...
[SELinux Policy]如何设置SELinux策略规则?
sandform的博客
06-03 5698
[SELinux Policy]如何设置SELinux策略规则? [Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc: denied" 或者"avc: denied" 如一行LOG: [ 17.2
解决缺少/sys/fs/selinux 问题
u012350025的博客
05-24 2550
kernel 版本linux5.6 1.起初根据网上给出的答案 在kernel启动项cmd设置selinux=1 这里显示的也的确是和网上给出的答案相同 失败 分析代码这里selinux_enabled_boot 变量值为0 实在不能理解 上图中代码只在hooks.c selinux_enabled_boot = enable ? 1:0处被修改 但是调试此处selinux_enabled_boot 值为1 后面被修改为0了 实在不能理解 2.找到问题 注意上图的 .enabled = &se
SElinux avc dennied权限问题解决方法
Y的博客
09-26 865
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己写,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
查看SELinux状态&关闭SELinux
weixin_41752251的博客
05-18 296
1. 查看SELinux状态1.1 getenforce•getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。•setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效[root@loc...
selinux详解 电子书 下载
最新发布
10-20
SELinux是一个在Linux内核中实施的安全模块,用于强化系统的安全性。该模块基于访问控制策略,确保应用程序和用户只能访问其授权的资源。SELinux通过在文件、进程和网络等级别上实施访问控制,可以有效地防止未经授权的访问和恶意软件的传播。 SELinux的下载通常是通过访问相关的官方网站来进行。用户可以在网站上找到有关SELinux的详细介绍、文档和下载链接。下载通常以压缩文件的形式提供,用户可以选择适合自己操作系统和版本的SELinux进行下载。 一旦下载完成,用户需要按照相关的安装指南进行安装和配置SELinux。安装过程通常涉及在系统中编译安装SELinux模块,配置系统默认策略文件,并将其集成到系统的启动流程中。 安装和配置完成后,SELinux将开始以强制模式运行。在强制模式下,SELinux将根据预定义的策略强制执行访问控制规则,限制每个进程和用户对系统资源的访问。SELinux还会生成日志,用于跟踪和审计系统的访问行为,以便及时发现潜在的安全事件。 SELinux的详细说明可以在相关的文档、手册和指南中找到。这些材料通常包括SELinux的背景、设计原理、工作原理和常用的命令和工具。用户可以通过阅读这些文档,了解SELinux的工作方式,以及如何配置和管理SELinux以满足自己的安全需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值