SELinux学习笔记

最新推荐文章于 2022-04-19 14:41:15 发布
最新推荐文章于 2022-04-19 14:41:15 发布
阅读量139 收藏
点赞数
原文链接:http://www.cnblogs.com/fatestaynight/p/SELinux.html
版权

SELinux 学习

1. SELinux的开发原因是由于系统用户或管理员对系统资源(文件,设备,端口...)
   的误用(如开放过大权限),在不正确的位置开放了权限)导致的系统漏洞,这一
   方面是人为原因,另一方面是系统本来的资源-用户的直接权限管理方式的缺陷。
   Selinux使用了MAC(委任访问控制)的方式管理权限

2.  SELinux组成由主体,目标和策略及安全上下文组成,前三者代表了进程及其
    访问对象。其在系统文件或进程上的表现方式则是安全上下文中的身份识别及
    角色。由于进程与文件数量庞大,SELinux依据服务来进制订安全性访问策略。
    策略指代一组规则集,目标是对进程。

3. 开启了SELinux后,用户对资源的访问由原来的进程对资源的DAC,转向了3层结构
    2.1) SELinux策略层
    2.2)安全上下文
    2.3) DAC

3. 身份标识,角色, 类型
    3.1) identify: 表示身份
        3.1.1)  root        表示root
        3.1.2)  system_u    表示系统用户
        3.1.3)  user_u      表示系统用户
    3.2)  role:表示资源类型
        3.2.1) object_r     文件资源
        3.2.2) system_r     进程资源
    3.3)  type: 安全类型
        3.3.1)  type        文件资源
        3.3.2)  domain      进程资源

4. SELinux中目录主要实现了两种策略集(targeted 和 strict),targeted
   集主要用用网络进程的策略限制,而对本地进程全开,而strict相对后者就要
   严格的多

5. targeted 策略集中,最终,主体是否能访问目标,由主体和目标的安全上下文
    是否符合,主要判断是根据安全上下文的type决定

6. selinux的开启,关闭,查询
    6.1)配置文件 /etc/selinux/config其中可以配置selinux启动模式selinux(enforcing,
         permissive, disable),及使用的策略集SELINUXTYPE(targeted ,strict)
    6.2) 模式查询 getenforce
    6.3) 查看策略 sestatus
    6.3) 模式切换(仅用于ENFORCE和PERMISSIVE) setenforce

7. 查看文件或进程的安全上下文 ls -Z | ps -Z

8. 更改上下文 chcon 
    注: 除过直接的指定上下文外,可以使用--reference来指定同某一个来源资源
        上下文相同;
9. 重设上下文 restorecon 

10. SELinux 监控及错误记录
    10.1) setroubleshoot    --/var/log/message
    10.2) audit 与 audit2why --AVC

11. SELinux 策略与规则管理

转载于:https://www.cnblogs.com/fatestaynight/p/SELinux.html

weixin_30551947
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
selinux相关学习笔记-简单selinux部分的解决
learnframework的博客
10-10 400
avc: denied { 操作 } for name=“leds” dev=“sysfs” ino=26711 scontext=u:r:主体type:s0:c512,c768 tcontext=u:object_r:客体type:s0 tclass=客体类别 permissive=1。如果自己程序有类似如下的avc:denied打印,基本上可以认为有selinux问题,这里有avc: denied相关的关键字。可以adb shell setEnforce 0 关闭selinux限制看看是否功能正常。
【安全利器SELinux快速入门系列 01】SELinux基础入门_selinux书(1)
最新发布
2401_84185951的博客
05-06 913
进程的主体是进程,客体是被访问的资源。MAC机制的特点在于,资源的拥有者,并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。4MAC强制访问控制的流程大致是上图所示,分为3个步骤主体程序必须要通过 SELinux 政策内的规则放行后,就可以与目标资源进行安全性本文的比对;若比对失败则无法存取目标,若比对成功则可以开始存取目标。最终能否存取目标还是与文件系统的 rwx 权限设置有关。
SELinux 学习笔记
昭瑞的专栏
09-08 895
selinux 概念: security enhanced linux,安全强化的linux; 背景:selinux是由美国国家安全局NSA开发,为了控管这方面的权限和程序的问题,同时selinux也被整合到linux核心的模块。 简单说SElinux是在进行程序、文件等细部权限设定依据的一个核心模块。由于启动网络服务也是程序,因此刚好也能控制网络服务能否存取系统资源的一道关卡! 传统的文
SELinux权限学习笔记
javac_jj的博客
04-19 1888
转载:SELinux权限学习笔记 - Hello-World3 - 博客园 1. 权限修改 方法1: adb在线修改seLinux $ getenforce; //获取当前seLinux状态,Enforcing(表示已打开),Permissive(表示已关闭) $ setenforce 1; //打开seLinux $ setenforce 0; //关闭seLinux 方法2: 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/con
SELinux中文学习资料深入版
09-14
难得的中文版SELinux学习资料。网上那些其他的翻译的实在烂。。。。
selinux 学习笔记,帮助学习seLinux 使用
11-08
SELinux 学习笔记SELinux,全称 Security-Enhanced Linux,是 Linux 操作系统中的一个强制访问控制(Mandatory Access Control, MAC)框架,旨在提高系统的安全性,防止恶意攻击者通过权限提升和权限滥用来...
selinux简明学习指南
12-05
国内相关的资料不多,而且大多是一些简单的命令介绍,最详细的是harrytaurus2002 写的SELinux学习笔记,2012-02-14 版本有 444 页,够多的。本书肯定没有SELinux学习笔记的详尽,可理解为就是一个精简版。文章会分开好几...
Linux实践工程师学习笔记.docx
11-20
这篇文档是关于Linux实践工程师的学习笔记,主要包括了用户环境配置、硬件检测、系统服务管理以及一些常用系统管理命令。下面将详细阐述这些知识点。 1. **用户环境**: - `locale` 命令用于查看当前系统的语言...
Linux学习笔记(搬运).zip
01-05
Linux学习笔记是一个包含丰富内容的资源包,专为那些希望深入了解和掌握Linux操作系统的人们设计。Linux是一种开源、自由的类UNIX操作系统,被广泛应用于服务器、嵌入式设备以及个人计算机上。本笔记将带你踏上Linux...
linux学习笔记1
08-03
【Linux学习笔记1】 Linux是一种开源的操作系统,它的设计哲学强调简洁和稳定性。本篇笔记将从概述、Linux的基本内容和vi/vim编辑器的快速入门三个方面展开。 1. **概述** - Linux基于Unix,被广泛应用在服务器、...
SELinux文档
05-23
SELinux文档详解,系统的介绍了SELinux版本,以及规则语法.入门教程,参考手册.
SELinux安全策略和探释.pdf
10-18
SELinux安全策略和探释.pdf
selinux-中文手册
12-15
selinux-中文手册,忘记从哪里获取到的了,清晰度应该还是可以的
3.【SELinux学习笔记】架构
从0到1,突破自己
08-10 3072
1.LSM框架(Linux Secrity Module)     它是一种轻量级的访问控制框架,适用于多种访问控制模型在它上面以内核可加载模块的形式实现。用户可以选择合适的安全模块加载到Linux内核上。其设计思想,在最少改变内核代码情况下,提供一个能够实现强制访问模块选哟的结构或者接口。LSM框架允许安全模块以插件形式载入内核,而SELinux就是作为一个安全模块载入Linux内核的。如下图
SElinux 学习笔记--例子实现
NyanSama的专栏
09-09 1096
SElinux
CentOS6下一次网络ping包没回应的故障分析
weixin_33778544的博客
10-26 1069
1)现象描述 今天有同事访问,他在用vmware workstation做测试的时候,使用nat模式,在家里能够ping通www.baidu.com,但是在公司怎么ping都不通,但是访问内网和网关都正常。并且测试机的selinux和iptables都是已经关闭。2)处理过程a、测试到内网其它主机[root@mysql-master~]#ping-c510.10....
selinux 学习笔记
weixin_33943836的博客
03-20 112
linux security module 介绍 LSM 的基础结构如下图(摘自https://www.ibm.com/developerworks/library/l-selinux/): 把安全模块作为一个module放入了linux kernel中。当kernel有安全相关的action时,通过该安全模块决定是否允许该action。 但是关于安全,linux已经做了很多的努力,LSM的意义...
5.【SELinux学习笔记】类型增强
从0到1,突破自己
08-11 5812
这一篇对我来说是非常重要的,我们可以从本篇博文中了解到SELinux策略语言 一、类型增强     SELinux策略大部分是一套声明和规则一起定义的类型增强(TE)策略。每个进程对每个资源的访问尝试都必须要有一条允许的TE访问规则。所有规则都属于两类范畴:访问向量(AV,即权限)和类型规则。 1.类型、属性、别名     SELinux主要使用类型来确定什么访问是被允许的,而别名
selinux学习笔记
10-13
学习SELinux需要掌握以下几个方面: 1. SELinux的基本概念和工作原理 2. SELinux的安装和配置 3. SELinux的策略管理和定制 4. SELinux的日志分析和故障排除 在学习SELinux时,需要注意以下几点: 1. SELinux的策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值