17.SELinux

最新推荐文章于 2024-03-13 15:59:48 发布
最新推荐文章于 2024-03-13 15:59:48 发布
阅读量1.1k 收藏 16
点赞数 24
分类专栏: linux 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57012538/article/details/135526796
版权

SELinux

文章目录

1、SELinux简介

为了保障linux系统的安全,除了firewalld防火墙外,linux系统管理员通常会控制用户和组的权限,这种基于用户和组的安全模型称之为主动访问控制,而SELinux提供了一个额外的系统安全层,它是基于对象的安全模型,对象可以是文件、目录或端口,这样安全模型称之为强制访问控制。
SELinux提供了一组基于进程是否可以访问文件、目录或端口的安全策略。

security enhanced linux–安全加强的linux。是由美国国家安全局开发的以及历史。selinux之前是基于自主存取控制方法DAC,只要符合权限即可,通过suid和sgid特殊权限存在有一定的安全隐患,甚至一些错误的配置就会引发巨大的漏洞,被轻易攻击。
selinux是基于强制存取控制方法MAC,应用程序或用户必须同时符合DCA既要对应selinux的MAC才能正常操作,否则遭到拒绝。

DAC和MAC的比较
DAC:自主访问控制,主体是用户,访问目标文件,由文件本身权限决定的
MAC:强制访问控制,主体是程序,访问目标文件,由文件权限和策略决定。

2、SELinux的模式

SELinux一共有三种模式,分别是Enforcing、Permissive和Disabled。

模式功能说明
enforcing强制模式,主动拒绝SELinux策略限制的访问行为,同时会对访问行为进行记录
permissive许可模式,暂时允许SELinux策略正在限制的访问行为,同时会对访问进行记录。该模式一般用于故障排除。
disabled禁用模式,完全禁用SELinux

强制模式与许可模式之间可以相互切换,无需重新启动操作系统。若将模式从强制模式或许可模式更变设置为禁用模式时,此时需要重新启动操作系统才能彻底禁用SELinux;同样,若将模式从禁用模式变更设置为强制模式或许可模式时,此时也需要重新启动操作系统才能真正变更模式设置。

命令"setenforce"命令的设置只会改变SELinux当前的模式,并不会影响操作系统启动后SELinux所处的模式。配置文件/etc/selinux/config中SELINUX参数值的修改只会影响操作系统启动后SELinux所处的模式,并不会影响SELinux当前的模式。

3、管理SELinux上下文

Linux系统中每个文件、目录和端口都具有特别的安全标签,该标签称之为SELinux上下文。SELinux安全策略就是通过SELinux上下文用来确定进程是否可以访问文件、目录或端口。

SELinux标签具有多种上下文,依照顺序依次为用户、角色、类型和敏感度。RHEL中的默认策略会根据第三个上下文,即类型值上下文来制定规则。类型值的特征非常明显,通常以"_t"结尾。如web服务器的DocumentRoot目录/var/www/html中的文件或目录的类型为"httpd_sys_content_t"。

初始SELinux上下文

  • 一般情况下,文件的初始SELinux上下文由该文件父目录的SELinux上下文决定。当在某个目录中新建文件时,父目录的SELinux上下文会分配给新建的文件。

SELinux上下文的更改

  • 文件或目录SELinux上下文的更改由"chcon"和"restorecon"这两个命令完成。
命令功能描述
chcon将文件或目录的SELinux上下文更改为指定的类型,选项”-t”用于指定上下文类型
restorecon更改文件或目录的SELinux上下文的首选方式。它使用SELinux策略中的规则来确定文件或目录默认的上下文

查看文件的context值:

ll -Z  /abc/aa

查看目录的context值:

ll -ldZ /abc/

安全上下文三部分组成:用户u、角色r和类型识别符t

chcon -t tmp_t redhat # 更改redhat的context值为tmp_t

restorecon -v redhat  # 恢复redhat的context值
# 更改路径context值也会发生变化。

# 永久修改context值
semanage fcontext -a -t tmp_t "/abc(/.*)?"
restorecon -RFv /abc/

标签换乱时,touch /.autorelabel 重打标签
或将selinux配置文件中改为disabled重启再改回来。

4、bool开关

getsebool -a # 查看所有bool开关
setsebool -P # 修改布尔开关

例子:
临时修改(服务器重启后,失效)

setsebool  ftpd_full_access on

永久修改:

setsebool -P ftpd_full_access on

端口标记
添加

semanage port  -a -t [端口类型] -p  【tcp/udp】  【端口号】

添加端口标签

semanage port -a -t http_port_t -p tcp 8910

查询端口标签

semanage port -a | grep 8910

修改端口标签

semanage port -m -t pegasus_http_port_t -p tcp 8910

删除端口标签

semanage port -d -t pegasus_http_port_t -p tcp 8910
e port -m -t pegasus_http_port_t -p tcp 8910

删除端口标签

semanage port -d -t pegasus_http_port_t -p tcp 8910
疑犯
关注
专栏目录
Linux入门之 SELinux 简介
蛐蛐的博客
09-24 1322
Security Enhanced Linux (SELinux) 提供了额外的系统安全层。SELinux 从根本上回答了这个问题: 可以对 做 吗。
时间同步角色和SELinux角色
qq_57006788的博客
06-15 624
.
SELinux
wangqiaowq的博客
07-19 106
传统的Linux访问控制基于自愿许可(Discretionary Access Control,DAC),它依赖于用户和进程的自我限制。当请求访问某个资源时,SELinux会检查资源的标签与访问请求的标签之间的策略规则,以确定是否允许访问。它的目标是提供更强大的系统安全保护,通过限制进程和用户对系统资源的访问,防止恶意软件的传播和提高系统的安全性。SELinux强制访问控制的优点是可以提供细粒度的访问控制和强大的安全保护,尽管它需要一定的配置和管理工作。
Android Selinux详解[二]--新增文件标签相关
weixin_41028555的博客
03-07 1739
在工作过程中,SElinux常用的有以下几个文件可用于新增标签restorecon在Selinux中是一个非常常用的命令,其解释如下"restorecon" 是一个用于恢复文件或目录的 SELinux 安全上下文的命令。在使用 SELinux(Security-Enhanced Linux)时,每个文件和目录都有一个安全上下文,它描述了文件或目录的安全属性和访问权限。如果由于某种原因安全上下文发生了改变,例如文件被移动或复制,可能导致安全上下文不一致。
Android Selinux详解[四]--新增服务标签相关
最新发布
weixin_41028555的博客
03-13 941
system server创建的service,如果是新增的java层系统服务,并且由system server拉起,则基本都是如下声明。带有app_api_service的声明说明除了isolated apps外,其他APP都可以访问的。带有system_api_service的说明只有system api的服务。所以经过上述解释,是否对服务该怎样进行type有一定的了解了呢。service有以下几种声明,相应解释如下。可以看到,有如下几种标签声明。
rpm-plugin-selinux-4.14.3-17.el8.aarch64.rpm
01-21
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
rpm-plugin-selinux-4.14.3-17.el8.x86_64.rpm
01-21
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
rpm-plugin-selinux-4.14.3-17.el8.ppc64le.rpm
01-21
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
ceph-selinux-14.2.7-0.el7.x86_64.rpm
12-10
离线安装包,亲测可用
linux 文件添加标签,SELinux——有趣的标签
weixin_29131709的博客
04-29 1908
·配置SELinuxSELinux是否启用给文件重新打标给端口设置安全标签设定某些操作的布尔型特性SELinux的日志管理1、SELinux的状态:·enforcing:强制,每个受限的进程都必然受限·permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志·disabled:关闭·相关命令:sestatus查看selinux的状态getenforce:获取当前seli...
SELinux “unlabeled”标签产生的两种场景及解决方案
李老板的移动安全杂货铺
09-15 3359
SELinux出现unlabeled的两种场景做了简单的记录,深度分析形成原因,并且给出了对应的解决方式。两种场景均为笔者在实践过程中遇到的真实场景,是从事Linux安全开发的研发人员大概率会遇到的场景,希望可以帮助大家快速定位和解决类似问题。
LINUX ACL访问控制列表,SELINUX安全性基本总结
weixin_34315189的博客
12-05 265
10、访问控制列表(ACL)标准的linux文件权限可以满足绝大多数情况的要求,但它也有局限。限制访问文件的权限仅限授予文件的所有者,单组成员或其他任何人,进程可能不适合成为文件所属组成员,授予所有人权限是不现实的做法。ACL允许向文件分配细化权限,除标准文件所有者组所有者和其他文件权限外,还可以向指定用户或指定组,以及UID及GUID确定的用户和组授予权限,这些权限均应用相...
Selinux理解
ELIUAK_d的博客
10-20 978
了解 selinuxSELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,是由NSA编写并设计成内核模块包含到内核中 扩展: UNIX的安全模型是:任意的访问控制(DAC)。任何程序对其资源享有完全控制权限 而MAC ...
linux文件打标签,SELinux标签
weixin_35698091的博客
05-10 1487
进程和文件/目录的标签查看在支持SELinux的系统中,所有的进程都有一个SELinux标签,查看进程的标签可以用下面的命令:adb shell ps -Z下面是Android 8.1.0模拟器上执行这个命令的结果(去掉了kernel、init等开发中很少有需要修改的进程):LABEL USER PID PPID V...
linux selinux策略管理与标签
爱死亡机器人
03-24 6559
1. selinux 策略 #打开80/tcp 、443/tcp端口 firewall-cmd --permanent --add-service=http --add-service=https firewall-cmd --reload 文件系统权限:任何DocumentRoot必须由apache用户或用户组读取,大部分情况下,不允许apache用户或组写入。 selinux:默认selinux策略会限制httpd读取上下文,web服务器默认上下文是httpd_sys_content_t semana
selinux 标签_了解容器运行时的SELinux标签
cumo3681的博客
06-30 790
selinux 标签 最近,我通过电子邮件回答了有关SELinux和容器运行时的问题。 之后,我意识到其他人可能会对同一个主题感到疑惑,所以我决定将答案变成一篇针对Opensource.com的文章,希望我可以帮助其他有相同问题的人。 电子邮件开始了: “ Dan,几年前您很乐意回答我的SELinux问题,我希望您仍然在从事这个行业。” 尽管我现在是Red Hat的容器团队的负责人,并且...
Linux Stick BIT
小楼一夜听春雨,深巷明朝卖杏花
09-25 2501
selinux主要影响的是网络服务,如果开启了某个网络服务就要考虑是否和selinux有关系。如果服务跑不起来可能就和selinux有关系。 Linux里面权限比如所有者,所属组,其他人对文件,目录的权限可读可写可执行。其实selinux也是用来管理权限的,selinux是进程对目录和文件和端口的影响。 查看selinux的模式 [root@localhost ~]# cat /etc...
Fedora 17安装全攻略:U盘轻松搞定
在安全方面,系统引入了libpwquality库,用于评估新密码的安全性,增强了SELinux策略,添加了deny_ptrace布尔值以防止恶意调试,同时Kerberos验证系统升级至1.10,提高了网络服务的安全性。 在文件系统方面,Fedora...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

疑犯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值