Linux资源的SELinux context详解

最新推荐文章于 2024-04-13 06:49:53 发布
最新推荐文章于 2024-04-13 06:49:53 发布
阅读量5.8k 收藏 17
点赞数 4
分类专栏: Linux 文章标签: SELinux  context system_u unconfined_t seinfo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taiyangdao/article/details/94016150
版权
本文详细介绍了Linux操作系统中资源的SELinux context,包括它的组成(range、user、role、type)及其在系统中的作用。重点讲解了如何查看和修改文件、进程的SELinux context,以及如何使用工具进行相关操作,提供了多个示例来帮助理解。
摘要由CSDN通过智能技术生成

Linux操作系统中的每个资源(如进程、文件描述符、文件、网络等),也被称为SELinux对象,都拥有一个特别的security label,也被称为SELinux label,或SELinux context,以表示该对象能够执行的permissions和operations。这是一个标识符,从Linux系统的细节中抽象出,只聚焦于系统资源的安全属性。通过使用SELinux context,就可以在SELinux策略的中,一致而正确地引用一个系统资源。

1. SELinux context的组成

SELinux context就是一个冒号分隔的字符串,包含4个部分:

user:role:type:range

1) range是可选的,也被称为MLS/MCS security range,或者MLS/MCS security level。

2) 对于安全策略而言,一个SELinux user就是一个标识符。SELinux user是从Linux user映射而来,名称有所变化,带上后缀_u。两者之间的最大不同是,Linux user可以通过su/sudo改变权限,而SELinux user永远不能,除非系统重启。

查看全部SELinux users(需要安装setools-console软件包),可以执行如下命令:

[root@myhost ~]# seinfo -u

Users: 8
   sysadm_u
   system_u
   xguest_u
   root
   guest_u
   staff_u
   user_u
   unconfine
最低0.47元/天 解锁文章
易生一世
关注
专栏目录
Linux安全策略selinux详解
悦分享
08-07 1168
系统资源都是通过进程来读取更改的,为了保证系统资源的安全,传统的Linux使用用户、文件权限的概念来限制资源的访问,通过对比进程的发起用户和文件权限以此来保证系统资源的安全,这是一种自由访问控制方式(DAC);但是随着系统资源安全性要求提高,出现了在Linux下的一种安全强化机制(SELinux),该机制为进程和文件加入了除权限之外更多的限制来增强访问条件,这种方式为强制访问控制(MAC)。
selinux= 为 disabled_理解Linux下的SELinux
weixin_39631316的博客
11-26 3428
理解Linux下的SELinux长久以来,每当遇到授权问题或者新安装的主机,我的第一反应是通过setenforce 0命令禁用SELinux,来减少产生的权限问题,但是这并不是一个良好的习惯。这篇文章尝试对SELinux的基本概念和用法进行简单介绍,并且提供一些更深入的资料。Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Li...
context linux,使用selinux contexts
weixin_35181426的博客
05-25 539
SELinux增强了Linux系统的安全,但是对于初学者来说很容易造成各种各样的错误,经常被搞的莫名其妙不知所措,最后只能祭出大招把SELinux一关了之。笔者也是初学者,也没有搞清楚其中的道理,只是了解点皮毛而已。本文只从chcon命令的使用结合几个例子简单回顾一下,更加深入的知识有待继续学习。使用selinux contextsSELinux增强了Linux系统的安全,但是对于初学者来说很容易...
selinuxcontext
nicky_zs的专栏
11-24 5720
由于无法再忍受chm格式的javadoc在fedora上的“无框架模式”,今天去网上下了一套html形式的javadoc。为了方便局域网里的朋友使用,特意在我的电脑上搭建起了apache服务器。我最开始的想法是把整个javadoc目录放在~/Documents下,然后在apache的httpd.conf中增加一个新的Directory。我这样配置好之后,用firefox去访问,结果却是40
selinux context
taizhoufox的专栏
04-24 2018
在home下多了一个目录,里面有一个instll.img文件,查看时间是两个星期前弄得,可自己是在是没印象,这个文件是做什么用的。想把它删掉,又不想这么贸贸然行动,最好能知道它是做什么用的。无意中在属性一栏看到selinux_context一栏,上面的标注是temporary data。那到底selinux_context是什么东西呢?google了一下,selinux_context是文
linux-Context和bool开关_selinux context的属性,零基础Linux运维
最新发布
2401_83627805的博客
04-13 553
为了做好运维面试路上的助攻手,特整理了上百道。
Linuxselinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在...
SELinux 入门详解
09-14
SELinux的标签系统是其核心特性之一,每个文件和进程都有一个安全上下文(security context),由用户、角色、类型和级别组成,用于决定访问权限。例如,进程的安全上下文可能是`user:role:type:sensitivity`。通过`...
关闭selinux_selinux通俗教程1-快速了解context
weixin_39669638的博客
11-18 99
接触过linux的人都听说过selinux这个词。从rhel6系统后,装系统时默认就必须打开selinux,但很多老手却是建议装完系统后关闭它,原因是它太麻烦了。selinux就是一把双刃剑,虽然很安全,却让管理员自己都到处碰壁。这里我尽量不用专业的术语让有一定linux基础的同学能够使用selinux,而不是关闭selinux。那selinux到底是什么?答: 首先,它不是防火墙。你可以把sel...
Linuxselinux安全上下文
Le_Anny的博客
05-16 2474
安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),”域”和”域类型”意思都一样,即都是安全上下文中的“TYPE”。 SELinux对系统中的许多命令做了修改,通过添加一个-Z选项显示客体和主体的安全上下文。 1) 系统根据PAM子系统中的pam_selinux.so模块设定...
驱动加载时机造成selinux context设置失败问题
qq_40991601的博客
01-29 2034
对比之前调试的DP驱动,添加权限,也是同样的写法,为什么dwc-msm-core.c驱动,添加权限会出现这个问题呢?比如使用cp命令对文件进行复制操作后,新的文件不会保留原始属性(除非加了-p参数),亦或是使用semanage命令对文件的安全上下文策略进行修改后,都需要使用restorecon命令让新的安全上下文值生效。由此推断,打标签的时间非常早,具体什么时候我们这里不关心,好吧,其实是我不知道,如果有知道的朋友也可以垂笔告知。本文讨论一种,驱动加载时序,造成驱动节点未被设置context的问题。
解决 系统升级后Selinux的file_context指定的目录或者文件域变成unlabeled
nuanhua209的专栏
03-22 7710
最近遇到一个selinux相关问题,相关的denied打印如下: avc: denied { write } for name="/" dev="mmcblk0p10" ino=2 scontext=u:r:AAAA:s0 tcontext=u:object_r:unlabeled:s0 tclass=dir permissive=0 avc: denied { create } for
反弹shell 提示ambigious reditect和Unauthorized SELinux context
SHELLCODE_8BIT的博客
03-05 285
所以说,这么反弹shell会失败?因为文件权限不对导致的,如下图所示。我通过任意文件写的权限为。
selinux通俗教程1-快速了解context
黑马程序员官方博客
02-13 916
接触过linux的人都听说过selinux这个词。从rhel6系统后,装系统时默认就必须打开selinux,但很多老手却是建议装完系统后关闭它,原因是它太麻烦了。selinux就是一把双刃剑,虽然很安全,却让管理员自己都到处碰壁。这里我尽量不用专业的术语让有一定linux基础的同学能够使用selinux,而不是关闭selinux。 那selinux到底是什么? 答: 首先,它不是防火墙。你可以...
selinux介绍
成功不必在我,而功力必不唐捐!
08-23 610
selinux相关命令 // 0--代表Permissive // 1--代表Enforcing setenforce 0 // 查看selinux开关状态 getenforce // 查看进程的sContext ps -Z // 查看文件权限 ls -Z 如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题 抓取SELinux Log adb shell dmesg 抓kernel log,使用命令: adb shell "cat /
selinux 介绍
老鹰不捉小鸡
06-13 922
DAC和MAC的区别:DAC核心思想:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限 ...
SELinux 学习笔记
昭瑞的专栏
09-08 906
selinux 概念: security enhanced linux,安全强化的linux; 背景:selinux是由美国国家安全局NSA开发,为了控管这方面的权限和程序的问题,同时selinux也被整合到linux核心的模块。 简单说SElinux是在进行程序、文件等细部权限设定依据的一个核心模块。由于启动网络服务也是程序,因此刚好也能控制网络服务能否存取系统资源的一道关卡! 传统的文
android6.0 init进程main之selinux_initialize
08-23 394
android6.0 init进程main之selinux_initialize 对应代码android6.0_r72,kernel对应linux3.18 前言 selinux 的初始化 selinux_initialize 涉及文件 /system/core/init/Init.cpp /external/libselinux/callbacks.c /system/core/init/log.cpp /system/core/init/Android.mk /external/libseli
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值