11.9 selinux-linux的内核安全

最新推荐文章于 2022-12-12 11:16:46 发布
最新推荐文章于 2022-12-12 11:16:46 发布
阅读量218 收藏
点赞数
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41627390/article/details/83956021
版权

1.selinux的介绍

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。

SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。 [1] 

大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、DebianCentos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。

SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统, 它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享 有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX 权限更好的访问控制

2.selinux的状态说明

selinux有三个状态:enforcing,disabled和permissive

我们用过ftp来引入selinux的使用。

首先,我们在服务器端安装vsftpd服务,客户端安装lftp。

在selinux打开,关闭和警告状态下。通过客户端的lftp连接服务器显示,目录的安全内容

步骤一:selinux关闭

方法一:

编辑selinux的配置文件:vim /etc/selinux/config

修改SELINUX=disabled

修改完后重启。

方法二:临时设定使用命令setenforce <1|0>   ##0为警告,1为强制,且不能在关闭状态下设定,重启完后,不保存

只能打开不能关闭。

步骤二:实验并查看结果

在selinux的状态为disable下:

1.在服务端,新建一个文件,发送到 /var/ftp

2.在客户端,lftp连接服务端,显示带有安全内容的目录

ls -Z

3.在服务端,查看/var/ftp的安全内容目录

存在问号

步骤三:开启服务器端的selinux

编辑selinux的配置文件:vim /etc/selinux/config

修改SELINUX=enforcing

reboot

 

步骤四:实验并查看结果

在selinux的状态为enforcing下:

1.在服务端,新建一个文件,发送到 /var/ftp

2.在客户端,lftp连接服务端,显示带有安全内容的目录

3.在服务端,查看/var/ftp的安全内容目录

实验结果表明,在关闭selinux下,无法查看安全内容,安全内容为?号。在客户端,可以看见任何内容。在开启selinux下,只有安全内容为public_content的文件可以看到。

步骤五:将selinux的状态改为peimissive

步骤六:实验并产看结果

在selinux的状态为permissive下:

1.在服务端,新建一个文件,发送到 /var/ftp

2.在客户端,lftp连接服务端,显示带有安全内容的目录

3.在服务端,查看/var/ftp的安全内容目录

实验结果:虽然,安全内容不是public_content,但是还是能在ftp内显示,只是警告,警告的内容可以在日志查看。

查看警告的日志:cat /var/log/audit/audit.log

3.修改安全上下文

1)修改文件的安全上下文

chcon -t public_centent_t /var/ftp/file3

2)修改目录的安全上下文

chcon -t mnt_t /var/ftp/pub/ -R

3)永久修改安全上下文

chcon命令修改的安全上下文为临时安全上下文,重启以后会还原.

永久修改安全上下文的命令

semanage fcontext -a -t public_content_t '/westos(/.*)?'    ##修改安全上下文及目录中文件的安全上下文

restorecon -RvvF /westos/                          ##修改安全上下文,还可以查看以前的安全上下文

步骤一:建立目录和文件查看安全上下文

步骤二:修改安全上下文

4.seboll值

sebool,selinux对权限的布尔值,显示那些功能打开,那些功能不打开

1)查看ftp的sebool值

getsebllo -a |grep ftp

2)修改ftp的布尔值

步骤一:selinux关闭状态下,可以上传

步骤二:selinux开启状态下,不可以上传

步骤三:修改权限:setsebool -P ftp_home_dir  on

5.selinux的排错

提供日志的插件

setroubleshoot-server.x86_64

 

 

 

 

 

手捧日月摘星晨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
selinux-policy-3.13.1-229.el7.noarch.rpm
11-30
离线安装包,亲测可用
带你走进Linux内核安全新世界
Rethinking the Kernel
07-23 1万+
什么是安全?“1500多年前,由从梵文译成汉文的《百喻经·愿为王剃须喻》中讲述了亲信救王的故事。故事中写道:“昔者有王,有一亲信,于军阵中,殁命救王,使得安全。”这里的安全是指一种状态,在这种状态下,某种对象或者对象的某种属性是不受威胁的。”...............
从GNU/Linux看国产操作系统的安全可控性
IT圈黎俊杰
12-12 1651
以当前国际Linux操作系统生态以及我国在操作系统方面的研发模式,自主品牌发行版Linux操作系统的自主可控性到底是怎么样的呢?
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1481
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
Linux Debian11使用国内源安装Podman环境
星如雨落
05-16 3973
一、Podman简介 Podman 是一个开源的容器运行时项目,可在大多数 Linux 平台上使用。Podman 提供与 Docker 非常相似的功能。正如前面提到的那样,它不需要在你的系统上运行任何守护进程,并且它也可以在没有 root 权限的情况下运行。 Podman 可以管理和运行任何符合 OCI(Open Container Initiative)规范的容器和容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。 Podman 官网地址
Linux内核安全
咖啡男孩之SRE之路
04-04 1839
本文主要深入讲解了linux的安全机制、bash shell的一些技巧、以及linux在使用过程中一些需要注意的小技巧。
container-selinux-2.9-4.el7.noarch.rpm.zip
02-27
`container-selinux-2.9-4.el7.noarch.rpm.zip`这个压缩包文件是与Docker相关的,它包含了一个名为`container-selinux-2.9-4.el7.noarch.rpm`的软件包,这是Docker在Red Hat Enterprise Linux 7 (RHEL 7)或其兼容...
selinux-policy-3.14.3-80.el8.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-policy-targeted-3.13.1-229.el7.noarch.rpm
12-01
离线安装包,亲测可用
selinux-utils_3.0-1build2_amd64.deb
03-12
ubuntu20.04.1_x86系统安装selinux所需软件包
Android的安全机制 1 -- 老罗
快乐&&平凡
04-21 4258
Android是一个基于Linux内核的移动操作系统。Linux是一个支持多用户的系统,系统中的文件的访问权限是通过用户ID(UID)和用户组ID(GID)来控制的。换句话说,就是Linux的安全机制是基于UID和GID来实现的。Android在Linux内核提供的基于UID和GID的安全机制的基础上,又实现了一套称为Permission的安全机制,如图1所示: 图1 Linux的UID
linux安全加固技术--内核安全模块LSM
热门推荐
softgmx的博客
08-31 2万+
Linux安全相关技术 SELinux AppArmor openSSL TPM SGX LSM   linux上六种常用的安全加固技术: 1 安全的编码(Secure Code),减少编写的错误。 2 应用层漏洞缓解技术(Application-level exploitation)(SSP,relro) 3 系统级漏洞缓解技术(System-level exploit mi...
如何增强Linux内核中的访问控制安全
IDEAL Garden
12-06 926
背景 前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件,任何软件在一开始设计的时候,都不能百分之百的满足人们的需求,所以操作系统也是一样,为了尽可能的满足人们需求,不得不提供一些供人们定制操作系统的机制。当然除了官方提供的一些机制,也有一些黑魔法,这些黑魔法不被推荐使用,但是有时候面对具...
linux内核模块的安全
05-25 1935
linux可以动态的加载内核模块,在很多场合可能需要确保加载内核安全性。如果被攻击者加载恶意内核模块,将会使得内核变得极其危险。     当然,稳妥的做法就是给内核模块进行签名,内核只加载能正确验证的签名。这是最首先想到的方法,当然,这个方法并不是很简单,你需要选用一套公钥加密方法,一般就是rsa算法了。难点是要在内核中进行验证模块的签名,这需要修改内核中的一些对应的地方。明显在load_m
Linux内核安全
gabsleo的博客
06-18 3294
本文译自Linux.orgDevynCJohnson的系列文章《Linux内核》,本篇链接:http://www.linux.org/threads/the-linux-kernel-security.4223/,转载请注明出处及原作者。上一篇文章中我们谈到了内核的驱动程序,今天我们来聊一聊内核安全性。内核是Linux系统的核心,如果有恶意的代码控制或者是破坏了内核的一部分,整个系统就会受到严重的
Linux内核安全包括哪些内容,处理Linux内核安全详解
weixin_29722785的博客
04-29 347
对于电脑用户来说,Windows的强大功能服务了广大用户,不过Windows安全问题还是让很多人头疼,所以很多人开始应用Linux,不过Linux内核安全也不知大疏忽,今天就讲讲Linux内核安全问题清理。Windows的安全问题比谷仓里的跳蚤还要多,但Linux也未必就对自身的安全漏洞免疫。最近有两个明显的bug被发现,不过很快就修好了。为了保证你不受困扰,你需要尽快地为你的内核打上补丁。修复列...
Linux 内核安全模块学习总结
bcbobo21cn的专栏
03-15 1万+
Linux安全模块(LSM) LSM是Linux Secrity Module的简称,即linux安全模块。其是一种轻量级通用访 问控制框架,适合于多种访问控制模型在它上面以内核可加载模块的形实现。用 户可以根据自己的需求选择合适的安全模块加载到内核上实现。 LSM设计思想: LSM的设计思想:在最少改变内核代码的情况下,提供一个能够成功实现强制访 问控制模块需要的结构或者接口。L
Linux之内核级防火墙selinux模块
qq_41830712的博客
01-28 726
一、什么是selinux? SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Lin...
ntainer-selinux-2.9
最新发布
05-30
ntainer-selinux-2.9是一个与Docker容器相关的安全性强制访问控制策略,目的是为了对Docker容器提供更强的安全性保护。你可以按照以下步骤安装并使用它: 1.首先,更新你的yum包: ```shell sudo yum update ``` 2.然后,安装ntainer-selinux-2.9: ```shell sudo yum install ntainer-selinux-2.9 ``` 3.启用ntainer-selinux-2.9: ```shell sudo setsebool -P container_manage_cgroup true ``` 4.重启Docker服务: ```shell sudo systemctl restart docker.service ``` 5.使用Docker容器时,需要确认你的容器使用了ntainer-selinux-2.9。你可以使用以下命令来验证: ```shell sudo docker run --rm -it --security-opt label:type:container-selinux busybox sh ``` 6.最后,你可以开始使用Docker容器以及ntainer-selinux-2.9提供的强大保护了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值