kernel SECMARK(SELinux iptables) 配置

最新推荐文章于 2023-05-12 17:17:52 发布
最新推荐文章于 2023-05-12 17:17:52 发布
阅读量955 收藏
点赞数
分类专栏: selinux 技术笔记 文章标签: SELinux iptables SECMARK kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41133610/article/details/124252778
版权

:SECMARK使用:iptables -t mangle -A OUTPUT -p tcp --dport 80 -j SECMARK --selctx root:object_r:unlabeled_t

SECMARK 使用支持 GNU / Linux IP 网络子系统的标准内核 NetFilter 框架。 NetFilter 服务自动检查所有传入和传出的数据包,并可以对接口、IP 地址(节点)和端口进行控制,并具有连接跟踪的附加优势。 SECMARK 安全扩展允许将安全上下文添加到数据包 (SECMARK) 或会话 (CONNSECMARK)。
NetFilter 框架使用 iptables(8) 中定义的标签检查和标记数据包,然后使用安全框架(例如 SELinux)来执行策略规则。因此 SECMARK 服务不是 SELinux 特定的,因为使用 LSM 基础设施的其他安全模块也可以实现相同的服务(例如 SMACK)。
虽然 iptables / NetFilter 的实现超出了本笔记本的范围,但有可用的教程 [1]。 SECMARK 处理图显示了基本结构,其工作流程如下:
一个称为“安全表”的表用于定义识别和“标记”数据包的参数,然后在数据包通过网络子系统时对其进行跟踪。这些“标记”称为 SECMARK 和 CONNSECMARK。
如果 SECMARK 与应用标签的安全表中的条目相匹配,则对数据包放置一个 SECMARK,然后该标签可用于对数据包实施策略。
CONNSECMARK 使用适当的标签“标记”会话[2] 中的所有数据包,然后可以使用该标签来执行策略。
基于OpenWRT平台linux4.4配置SECMARK.使用SECMARK主要是使用SECMARK 和 CONNSECMARK,因此我们需要配置这两个模块及相关的依赖即可,因为SECMARK是属于内核相关的配置,因此修改内核模块。内核配置文件中添加如下两条配置,在编译过程中报错再添加相应的依赖选项。

CONFIG_NETFILTER_XT_TARGET_CONNSECMARK=y
CONFIG_NETFILTER_XT_TARGET_SECMARK=y

也可以通过make kernel_menuconfig命令选配:

 在编译过程中报错如下图所示可以选配或添加相关的配置项CONFIG_NFT_COMPAT=y

 这个多次往复编译中报错再添加相应的依赖选项,直到无错误成功编译。

最后我添加了一下几个配置项:

CONFIG_NF_TABLES=y
CONFIG_NF_CONNTRACK=y
CONFIG_NETFILTER_XTABLES=y
CONFIG_NETFILTER_XT_TARGET_CONNSECMARK=y
CONFIG_NETFILTER_XT_TARGET_SECMARK=y
CONFIG_NETWORK_SECMARK=y
CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT=y
CONFIG_NETFILTER_XTABLES=y
CONFIG_NFT_QUEUE=y
CONFIG_NFT_COMPAT=y
CONFIG_NF_TABLES_ARP=y
CONFIG_NF_TABLES_BRIDGE=y
CONFIG_NF_LOG_BRIDGE=y

编译成功后使用命令出现错误unknown option "--selctx",:解决方法:将iptables编译产生的libxt_SECMARK.so与libxt_CONNSECMARK.so拷贝到/usr/lib/iptables中运行就不会有错误产生。

 

 至此完成  SECMARK配置。:--selctx后面的安全上下文应该是已定义过的安全上下文。

参考:
datahacker - SECMARK Without SELinux

SECMARK and SELinux – Simplicity is a form of art...

心上枫叶红
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xt_SECMARK.rar_The Network
09-22
Linux network module for modifying the secmark field of the skb, for use by security subsystems.
【Linux】iptables的内核模块问题大坑!
热门推荐
zclinux的博客
11-23 3万+
系统环境 CentOS 6.5 今天本来可以平静的度过一天,正品味着下午茶的美好,突然接到防火墙iptables的报警。 进入到服务器中,执行下面的命令查看,结果报错 /etc/init.d/iptables restart iptables: Applying firewall rules: iptables-restore v1.4.7: iptables-restore: un......
linux conntrack命令 路由连接 跟踪表 显示删除监听记录
whatday的专栏
11-01 1万+
conntrack命令可以显示,删除和更新跟踪表现有状态条目,还可以监听流事件 1.安装: yum install -y conntrack 2.使用: 查看conntrack表记录 conntrack -L 过滤条件输出 # conntrack -U -p tcp --dport 3486 --mark 10 tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 pa
Linux内核配置选项 (经典学习)
lh2016rocky的博客
04-28 2万+
转载地址http://book.csdn.net/bookfiles/972/10097230254.shtml 2.5  Linux内核配置选项 下面以最新的Linux 2.6.20内核为例,介绍比较常用的一些Linux内核配置选项,其他选项读者可以参考系统提供的帮助信息。 需要说明的是,在内核配置中,某项选择Y表示把该项选择进内核,选择M则表示把该项编译成模块
Linux iptables 防火墙软件命令详解
最新发布
快乐的搬砖的博客
05-12 1987
iptables命令 是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置
关于IPTABLES 各种MARK 功能的用法
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
基于LTE的车联网无线通信技术 直连通信系统路侧单元技术要求
爱是与世界平行
08-29 2812
基于LTE的车联网无线通信技术 直连通信系统路侧单元技术要求
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 2597
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
基于openwrt平台搭建局域网技术验证之三
caofengtao1314的专栏
06-29 1065
1、测试目的 验证pptp客户端模式的可行性。 提供vpn-pptp模式的客户端功能。 2、参考资料 参考链接1:https://www.lucktang.com/191.html 参考链接2:https://openwrt.org/docs/guide-user/services/vpn/pptp/client 3、测试过程 测试过程需要用到的资源: 路由器俩个 win7系统电脑俩台 交换机一个 ④ 网线三根 测试组网如下图所示: 组网说明: R0公司路由器 S...
iptables移植+内核修改
大牛攻城狮的专栏
04-21 752
移植iptables过程中出现一些问题,这里记录一下Iptables是用户态提供的更改过滤规则的便捷工具,通过使用这个工具,可以方便的改变内核下netfilter的默认规则,也可以根据自己的需求添加自定的规则。
asn1c_v2x_app.rar
06-17
<secMark>1234</secMark> <lat>12 <long>23 <pos><a500m/> <transmission><forwardGears/> <speed>1234 <heading>456 <long>12 <lat>34 <vert>56 <yaw>78 <width>90 <vehicleLength>...
xt_CONNSECMARK.rar_back
09-19
This module is used to copy security markings from packets to connections, and restore security ... This would normally be performed in conjunction with the SECMARK target and state match for linux.
openwrt配置虚拟多wan
心上枫叶红的博客
03-15 8267
openwrt配置虚拟多WAN,在/etc/config/network文件中修改。 在文件中添加配置wan2 wan3的虚拟配置,其中wan2的VLAN ID是2;wan3的VLAN ID是3,通过配置ifname中eth0.X,那么VLAN的ID就是X。配置成功后“/etc/init.d/network restart &”重启网络或则重启系统就可以了。 config interface 'wan' option ifname 'eth0' option m
selinux 安全上下文
心上枫叶红的博客
03-02 2373
私有策略文件(.te):这个文件包括了模块专用的声明和规则,通常,所有模块类型和属性声明都包括在.te 文件中,以及授予这些类型和属性核心访问权的规则。 外部接口文件(.if):这个文件包括模块接口,这些接口是其它模块访问这个模块的类型和属性。 标记策略文件(.fc):这个文件包括与这个模块有关的文件上下文标记语句。 gen_require()宏,用它列出该接口使用的策略标识符(类型、属性、角色、布尔变量等的名字) allow 表示允许主体对客体执行允许的操作。 dontaudit 表......
Python OpenCV 人脸识别
心上枫叶红的博客
08-12 2296
简单运用Python OpenCV对图片上人脸进行识别。
QT 开发板无法显示GIF图片,windows能正常显示问题
心上枫叶红的博客
06-02 1522
.h头文件 #include <QLabel> #include <QMovie> QLabel *lable=nullptr; QMovie *movie=nullptr; .CPP源文件 lable=new QLabel; movie= new QMovie(":/res/test.gif"); lable->setAttribute(Qt::WA_StyledBackground); lable->setWindowFla
route命令
心上枫叶红的博客
03-02 1129
删除和添加设置默认网关 route del default gw 192.168.11.11 route add default gw 192.168.2.2 dev eth0.1 //------------目的IP-------------- route add -host 14.215.177.38 gw 192.168.11.11 eth0.2 //------指定访问14.215.177.38 走eth0.2 网口 192.168.11.11网关----- //---------...
QT使用多国语言及linguist工具使用
心上枫叶红的博客
06-05 1058
在QT代码中使用不同语言.qm文件就能让程序转换成相应的语言。但必须有相应语言的字库支持才能转换成功,否则会出现乱码或空格。字体库有各种格式,需要放在/usr/lib/fonts目录下才行,下图圈出来的是我使用的中文字体库与英文字体库。 支持的字体库有了之后,就开始使用.qm文件来进行多国语言切换了。在代码中.H需要添加头文件, #include <QTranslator> #include <QApplication> QTranslator *translator
skb_buff中变量__u32 secmark;
05-10
`secmark` 是 Linux 内核中 `skb_buff` 结构体中的一个成员,用于存储安全标记(Security Marking),是一个 32 位的无符号整数。安全标记是 Linux 内核网络安全机制中的一部分,用于标识数据包的安全级别,以便于后续处理,如访问控制、审计等。 在 Linux 内核中,安全标记是在网络协议栈中传递的,如在网络层(如 IP 协议)和传输层(如 TCP、UDP 协议)等协议中,可以通过安全标记来标识数据包的安全级别。而 `skb_buff` 结构体中的 `secmark` 成员则是用于存储这个安全标记的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值