linux--selinux

最新推荐文章于 2021-05-17 22:59:39 发布
最新推荐文章于 2021-05-17 22:59:39 发布
阅读量252 收藏
点赞数
分类专栏: Linux专栏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012967763/article/details/104439817
版权

1、Selinux

        SELinux(Security-Enhanced Linux,安全增强型Linux)是美国国家安全局(NAS)对于强制访问控制的实现,在这种访问控制体系的限制下,进程只能访问哪些在他的任务中所需的文件。SELinux在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的控制概念。

        在SELinux中定义了许多类型(TYPE),每一个进程、文件、设备等都必须标识他所属的类型进程只能读取相同类型的文件,如果没有相关类型,并且SELinux不允许读取的时候,则无法读取文件。SELinux除了约束进程读取文件的能力之外,还限制进程对设备、网络联机、通信端口、跨进程通信的读取能力,并提供更细致的读取控制。

       在SELinux中没有root这个概念,安全策略是由管理员来定义的,任何软件都无法取代它。这意味着那些潜在的恶意软件所能造成的损害可以被控制在最小。一般情况下只有非常注重数据安全的企业级用户才会使用SELinux。

2、原理简介

       当一个subject(如: 一个应用)试图访问一个object(如:一个文件),Kernel中的策略执行服务器将检查AVC (Access Vector Cache), 在AVC中,subject和object的权限被缓存(cached)。如果基于AVC中的数据不能做出决定,则请求安全服务器,安全服务器在一个矩阵中查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问,拒绝消息细节位于/var/log/messages中。

3、基本概念

策略:

         SELinux策略是用来定义SELinux的读取规则,比如哪一个安全上下文的进程允许或禁止读取哪一个对象。Linux会把每一个Linux策略类型的资料存储在/etc/selinux策略类型名目录中。

安全上下文:

       安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),"域"和"域类型"意思都一样,我们不必苛刻地去区分或避免使用术语域,通常,我们认为【域】、【域类型】、【主体类型】和【进程类型】都是同义的,即都是安全上下文中的“TYPE”。

        所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。在SELinux中,访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户、角色和类型标识符。常常用下面的格式指定或显示安全上下文:

USER:ROLE:TYPE[LEVEL[:CATEGORY]]

        安全上下文中的用户和角色标识符除了对强制有一点约束之外对类型强制访问控制策略没什么影响,对于进程,用户和角色标识符显得更有意义,因为它们是用于控制类型和用户标识符的联合体,这样就会与Linux用户账号关联起来;然而,对于客体,用户和角色标识符几乎很少使用,为了规范管理,客体的角色常常是object_r,客体的用户常常是创建客体的进程的用户标识符,它们在访问控制上没什么作用。

4、Selinux相关操作

1)selinux状态查看与配置

[root@VM_0_11_centos ~]# cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted


[root@VM_0_11_centos ~]#

SELINUX=disabled

#此项定义selinux状态。

#enforcing—是强制模式系统受selinux保护。就是你违反了策略,你就无法继续操作下去#permissive—是提示模式系统不会受到selinux保护,只是收到警告信息。

#permissive就是Selinux有效,但是即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来(警告信息)

#disabled—禁用selinux。

[root@VM_0_11_centos ~]# ll /etc/selinux/
total 20
-rw-r--r--. 1 root root  541 Dec 11 08:43 config
drwx------. 2 root root 4096 Dec  8 08:31 final
-rw-r--r--. 1 root root 2321 Oct 30  2018 semanage.conf
drwxr-xr-x. 7 root root 4096 Dec  8 08:31 targeted
drwxr-xr-x. 2 root root 4096 Oct 30  2018 tmp
[root@VM_0_11_centos ~]#

SELINUXTYPE=targeted

#此项定义selinux使用哪个策略模块保护系统。

targeted:保护常见的网络服务,是SELinux的默认值

minimum:SELinux最低基本策略

mls:提供符合MLS机制的安全性

2)查询selinux状态

[root@VM_0_11_centos ~]# sestatus
SELinux status:                 disabled
[root@VM_0_11_centos ~]# getenforce
Disabled
[root@VM_0_11_centos ~]#

3)设置selinux状态,0关闭,1打开

        使用setenforce可以临时在enforcing模式与permissive模式之间切换,切换会被立刻应用于当前系统,计算机重启后无效,永久修改模式需要修改配置文件。

[root@VM_0_11_centos ~]# setenforce 0
setenforce: SELinux is disabled

4)查看安全上下文(-Z参数)

[root@VM_0_11_centos selinux]# ll -Z
-rw-r--r--. root root system_u:object_r:unlabeled_t:s0 config
drwx------. root root system_u:object_r:selinux_config_t:s0 final
-rw-r--r--. root root system_u:object_r:selinux_config_t:s0 semanage.conf
drwxr-xr-x. root root system_u:object_r:selinux_config_t:s0 targeted
drwxr-xr-x. root root system_u:object_r:selinux_config_t:s0 tmp
[root@VM_0_11_centos selinux]#
[root@VM_0_11_centos selinux]# ps -Z
[root@VM_0_11_centos selinux]# id -Z
id: --context (-Z) works only on an SELinux-enabled kernel
[root@VM_0_11_centos selinux]#

5)修改安全上下文

chcon命令

6)查看策略

#策略与目录同名
[root@VM_0_11_centos selinux]# ll /etc/selinux/
total 20
-rw-r--r--. 1 root root  541 Dec 11 08:43 config
drwx------. 2 root root 4096 Dec  8 08:31 final
-rw-r--r--. 1 root root 2321 Oct 30  2018 semanage.conf
drwxr-xr-x. 7 root root 4096 Dec  8 08:31 targeted
drwxr-xr-x. 2 root root 4096 Oct 30  2018 tmp
[root@VM_0_11_centos selinux]#

使用什么策略就安装对应的策略包
[root@VM_0_11_centos selinux]# yum -y install selinux-policy-minimum
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile


多了一个minimum目录
[root@VM_0_11_centos selinux]# ll /etc/selinux/
total 24
-rw-r--r--. 1 root root  541 Dec 11 08:43 config
drwx------. 2 root root 4096 Feb 21 20:07 final
drwxr-xr-x  7 root root 4096 Feb 21 20:07 minimum
-rw-r--r--. 1 root root 2321 Oct 30  2018 semanage.conf
drwxr-xr-x. 7 root root 4096 Dec  8 08:31 targeted
drwxr-xr-x. 2 root root 4096 Oct 30  2018 tmp
[root@VM_0_11_centos selinux]#

7)相关日志信息

       不管SELinux策略是允许还是拒绝资源的访问请求行为,都会记录日志,也就是AVC(Access Vector Cache)。所有SELinux拒绝的消息都会被记录进日志,根据系统中安装运行的服务进程不同,拒绝日志消息会被记录到不同的文件中。  

日志文件                      进程

/var/log/audit/audit.log           auditd服务开启

/var/log/messages                auditd服务关闭,rsyslogd服务开启

/var/log/audit/audit.log,/var/log/messages安装setroubleshoot相关软件包autitd与rsyslogd同时开启

  

 

 

 

 

远去的栀子花
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kill 与killall
beebeeyoung的博客
02-25 1471
kill 与 killall
常用的gcc程序保护命令
sinat_31608641的博客
11-30 1756
NX:-z execstack / -z noexecstack (关闭 / 开启) 不让执行栈上的数据,于是JMP ESP就不能用了 Canary:-fno-stack-protector /-fstack-protector / -fstack-protector-all(关闭 / 开启 / 全开启) 栈里插入cookie信息 PIE:-no-pie / -pie (关闭 / 开启) 地址随机化,另外打开后会有get_pc_thunk RELRO:-z norelro / -z lazy / -.
linux下id命令作用,讲解Linux系统下使用Id命令的方法,包括Id命令选项示例
weixin_42415498的博客
04-28 840
id是一个命令行实用程序,可打印真实有效的用户和组ID。以下为你讲解Linux操作系统下使用Id命令的方法,包括Id命令选项示例。使用id命令id命令的语法如下:id [OPTIONS] [USERNAME]如果省略用户名,则id命令显示有关当前登录用户的信息。在不带任何选项的情况下调用id时,将打印真实用户ID(uid),用户的真实主要组ID(gid)和用户所属的补充组(groups)的真实ID...
linux进程异常 不能重启,selinux配置错误导致CentOS无法重启
weixin_32301287的博客
04-30 547
错误原因配置关闭SELinux,结果误操作应修改配置文件/etc/selinux/config中的“SELINUX”参数的值,# SELINUX=enforcing 原始配置SELINUX=disabled 正确但是误将“SELINUXTYPE”看成“SELINUX”,设置了SELINUXTYPE参数:#SELINUXTYPE=targeted 原始配置 这个不必修改。SELINUX...
linux内核参数错误不能上网,linux 内核启动错误和selinux参数 Kernel panic
weixin_36304806的博客
04-29 210
Selinux的启用与关闭编辑/etc/selinux/conf文件SELINUX=enforcing(强制:违反了策略,你就无法继续操作下去)Permissive(有效,但不强制:违反了策略的话它让你继续操作,但是把你的违反的内容记录下来)Disabled(禁用)禁用的另一种方式:在启动的时候,也可以通过传递参数selinux给内核来控制它编辑/etc/grup.conftitle Red Ha...
container-selinux-2.74-1.el7.noarch.rar
03-03
1. 首先,解压下载的`container-selinux-2.74-1.el7.noarch.rar`压缩包,获取到`container-selinux-2.74-1.el7.noarch.rpm`文件。 2. 接着,在终端中使用`rpm`命令进行离线安装,命令如下: ```bash rpm -ivh ...
container-selinux-2.74-1.el7.noarch.rpm
12-02
解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm
container-selinux-2.9-4.el7.noarch.rpm.zip
02-27
`container-selinux-2.9-4.el7.noarch.rpm.zip`这个压缩包文件是与Docker相关的,它包含了一个名为`container-selinux-2.9-4.el7.noarch.rpm`的软件包,这是Docker在Red Hat Enterprise Linux 7 (RHEL 7)或其兼容...
tigervnc-selinux-1.11.0-9.el8.noarch(1).rpm
12-06
官方离线安装包,亲测可用
container-selinux-2.9-4.el7.noarch.zip
02-20
标题中的"container-selinux-2.9-4.el7.noarch.zip"表明这是一个与Linux安全模块SELinux(Security-Enhanced Linux)相关的软件包,适用于版本为2.9的container-selinux,并且它是针对EL7(Enterprise Linux 7,通常...
selinux控制
Je_suis_Lulu的博客
05-01 1127
Selinux 一、selinux--内核级控制 selinux 1.selinux工作模式 vim /etc/sysconfig/selinux # This file controls the state of SELinuxon the system. # SELINUX= can take one of these threevalues: #    enforcing -
SELinux安全配置
weixin_33811539的博客
03-20 523
3 Common Access Control Models: 1. Discretionary Access Control (DAC)- prone to malware/malicious- setuid/setgid(cdrecord) files are vulnerable- Access to objects(files) are based solel...
Linux下开启关闭SeLinux
weixin_33797791的博客
04-26 172
SELinux (Security-Enhanced Linux) in Fedora is an implementation of mandatory access control in the Linux kernel using the Linux Security Modules (LSM) framework. Standard Linu...
linux 内核启动错误和selinux参数 Kernel panic -not syncing:Attempted to kill init
hehaibo
08-28 5247
今天在装某个软件的时候,修改了selinux参数。修改selinux 的某个参数值为Disable。导致 linux系统不能启动。出现如下错误 Kernel panic -not syncing:Attempted to kill init!   后经过向群友请教和自己操作和互联网搜索,终于找到了解决办法。 在linux启动界面出现时,按f2进入如下界面:       按e...
对Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
热门推荐
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解Android 下SELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
Linux id命令
weixin_33805557的博客
09-18 104
id 命令可以显示真实有效的用户 ID(UID) 和组 ID(GID)。UID 是对一个用户的单一身份标识。组 ID(GID)则对应多个UID。   Usage: id [OPTION]... [USERNAME]Print user and group information for the specified USERNAME,or (when USERNAME omitted) for ...
selinux 配置
weixin_34362875的博客
04-28 103
从fedora core 2开始, 2.6内核的版本都支持selinux.我们看看 Fedora core 5 里的/etc/sysconfig/selinux标准设定吧。 # This file controls the state of SELinux on the system. # SELINUX= can take one of these three valu...
semanage和SELinux的小总结
想上天的鱼
03-11 8108
我对linux是个门外汉,有些地方描述的比较“粗犷”,见谅见谅;文章结构什么的,真的是有心无力,一片好文章也是一门技术活,所以,我用问答的形式来写的,简单,但感觉效果还是有的;最后,这篇算不上文章的文章,肯定是借鉴了其它的大神的,大神莫怪莫怪,大神年薪5000w,大神美女环绕,大神万寿无疆    semanage是什么?  1.semanage是一个软件中的一部分,  2.可在linux中用命令行...
linux临时关闭安全子系统,linux 学习第十三天(screen不间断会话、apache服务、SELinux安全子系统)...
weixin_42515795的博客
05-17 121
LINUXLinux操作系统linux 学习第十三天(screen不间断会话、apache服务、SELinux安全子系统) 一、screen 命令不间断会话1、安装screen(从系统镜像作为yum仓库安装)1.1、加载系统镜像1.2、mount /dev/cdrom /media/cdrom/ (挂在系统镜像)vim /etc/fstab (添加开机启动项)1.3、yu...
selinux-utils 源码在哪
最新发布
07-15
selinux-utils是一个开源软件包,提供了与SELinux(安全增强型Linux)相关的工具和库。 要找到selinux-utils源码,你可以遵循以下步骤: 1. 打开任何一个网页浏览器,进入一个搜索引擎,如Google、Baidu、Github等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值