SELinux学习笔记

SELinux 学习

1. SELinux的开发原因是由于系统用户或管理员对系统资源(文件,设备,端口...)
   的误用(如开放过大权限),在不正确的位置开放了权限)导致的系统漏洞,这一
   方面是人为原因,另一方面是系统本来的资源-用户的直接权限管理方式的缺陷。
   Selinux使用了MAC(委任访问控制)的方式管理权限

2.  SELinux组成由主体,目标和策略及安全上下文组成,前三者代表了进程及其
    访问对象。其在系统文件或进程上的表现方式则是安全上下文中的身份识别及
    角色。由于进程与文件数量庞大,SELinux依据服务来进制订安全性访问策略。
    策略指代一组规则集,目标是对进程。

3. 开启了SELinux后,用户对资源的访问由原来的进程对资源的DAC,转向了3层结构
    2.1) SELinux策略层
    2.2)安全上下文
    2.3) DAC

3. 身份标识,角色, 类型
    3.1) identify: 表示身份
        3.1.1)  root        表示root
        3.1.2)  system_u    表示系统用户
        3.1.3)  user_u      表示系统用户
    3.2)  role:表示资源类型
        3.2.1) object_r     文件资源
        3.2.2) system_r     进程资源
    3.3)  type: 安全类型
        3.3.1)  type        文件资源
        3.3.2)  domain      进程资源

4. SELinux中目录主要实现了两种策略集(targeted 和 strict),targeted
   集主要用用网络进程的策略限制,而对本地进程全开,而strict相对后者就要
   严格的多

5. targeted 策略集中,最终,主体是否能访问目标,由主体和目标的安全上下文
    是否符合,主要判断是根据安全上下文的type决定

6. selinux的开启,关闭,查询
    6.1)配置文件 /etc/selinux/config其中可以配置selinux启动模式selinux(enforcing,
         permissive, disable),及使用的策略集SELINUXTYPE(targeted ,strict)
    6.2) 模式查询 getenforce
    6.3) 查看策略 sestatus
    6.3) 模式切换(仅用于ENFORCE和PERMISSIVE) setenforce

7. 查看文件或进程的安全上下文 ls -Z | ps -Z

8. 更改上下文 chcon 
    注: 除过直接的指定上下文外,可以使用--reference来指定同某一个来源资源
        上下文相同;
9. 重设上下文 restorecon 

10. SELinux 监控及错误记录
    10.1) setroubleshoot    --/var/log/message
    10.2) audit 与 audit2why --AVC

11. SELinux 策略与规则管理

转载于:https://www.cnblogs.com/fatestaynight/p/SELinux.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值