Linux Kernel Security (SELinux vs AppArmor vs Grsecurity)

最新推荐文章于 2024-07-20 01:12:56 发布
最新推荐文章于 2024-07-20 01:12:56 发布
阅读量139 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/lixuebin/p/10814025.html
版权

Linux Kernel Security (SELinux vs AppArmor vs Grsecurity)


参考文档:

SELinux Linux <wbr>Kernel <wbr>Security <wbr>(SELinux <wbr>vs <wbr>AppArmor <wbr>vs <wbr>Grsecurity)

https://www.nsa.gov/what-we-do/research/selinux/

https://github.com/SELinuxProject


AppArmor


grsecurity Linux <wbr>Kernel <wbr>Security <wbr>(SELinux <wbr>vs <wbr>AppArmor <wbr>vs <wbr>Grsecurity)

http://grsecurity.net


SELinux AppArmor grsecurity
AutomatedNo (audit2allow and system-config-selinux)Yes (Yast wizard)Yes (auto traning / gradm)
Powerful policy setupYes (very complex) Yes Yes
Default and recommended integration CentOS / RedHat / DebianSuse / OpenSuseAny Linux distribution
Training and vendor supportYes (Redhat)Yes (Novell)No (community forum and lists)
Recommend for Advanced userNew / advanced userNew users
Feature Pathname based system does not require labelling or relabelling filesystem Attaches labels to all files, processes and objects ACLs

PaX是针对linux kernel的一个加固版本的补丁,它让linux内核的内存页受限于最小权限原则,是这个星球上有史以来最极端和最优秀的防御系统级别0day的方案,第1版的设计和实现诞生于2000年,那可是一个没有ASLR/RELRO/NX/CANARY/FORITY/PIE都没有的年代,这些今天意义上的现代mitigation技术不管是linux/windows/macosx都多少抄袭和模仿了PaX的设计和实现,但有很多朋友会问:既然这东东这么厉害,为什么不在linux mainline里?当年Linux内核不收PaX进入upstream是因为很多人觉得PaX不是那么的好维护,之后linux内核推出了LSM( Linux Security Module),LSM利用了一堆CAPABILITY的 机制提供了一些限制用户态程序访问控制的接口,SELinux和Apparmor就是基于LSM开发的,注意LSM并不是一个传统意义上的linux kernel module,至少在2个地方不同于普通module:

1) 必须在bootloader启动内核时启动,不能在内核加载完后启动。
2) 不能同时启动2个LSM的实现。

转载于:https://www.cnblogs.com/lixuebin/p/10814025.html

weixin_30726161
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux 学习笔记---SELinuxAppArmor
光明矢的专栏
07-03 6869
Linux学习笔记---SELinuxAppArmor
linux安全策略加固文档_LinuxselinuxAppArmor安全策略初探
weixin_31898831的博客
12-25 424
前言:SELinux(Secure Enhanced Linux)和AppArmor同样都是内核级别的安全机制,集成于内核中,两者的不同是SELinux使用文件的inode作为安全标签,而AppArmor使用路径名作为安全标签今天就为大家分享一下这两种安全机制,虽说分享,其实也只是初探(只是皮毛),因为在平时使用中,我一般也是关闭这个安全机制。一,先来介绍selinuxAppArmor...
AppArmor与SElinux
weixin_45216475的博客
02-02 1186
1、关系 AppArmor最初由Immunix开发,随后由Novell维护,它是SELinux的替代品方法,也使用了Linux安全模块(LSM)框架。通过SELinuxAppArmor使用了同样的框架,因此它们可以互换。AppArmor的开发初衷是因为有人认为SELinux太过复杂,不适合普通用户管理。AppArmor包含SELinux的一个问题在于,它需要一个支持扩展属性的文件系统;而AppArmor对文件系统没有任何要求。 2、比较 易用性:对一个ftp程序做相同的限制,使用apparmor的规则只是
SELinuxAppArmor的了解
pingyufeng的博客
07-17 291
SELinuxAppArmor
Linux Kernel Security (SELinux vs AppArmor vs Grsecurity)
lionzl的专栏
01-22 955
Linux Kernel Security (SELinux vs AppArmor vs Grsecurity) by NIXCRAFT on MAY 27, 2009 · 20 COMMENTS· LAST UPDATED JUNE 18, 2009 in CENTOS, DEBIAN LINUX, FEDORA LINUX Linux ker
Overview of Linux Kernel Security Features
雜貨鋪
08-12 1348
原文地址:https://www.linux.com/learn/docs/727873-overview-of-linux-kernel-security-features   Editor's Note: This is a guest post from James Morris, the Linux kernel security subsystem maintainer and ma
Linux 安全缓解机制总结
小吕的博客
09-12 1768
Linux 安全缓解机制总结_panhewu9919的博客-CSDN博客 学习资料: kernel-security-learning linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity...
Linux内核五个安全模块简述
xiaoxiangfu的专栏
01-01 2302
名称  作者/维护者  第一个公开 版本时间  进入内核主线时间  进入内核主线版本  SELinux  NSA(美国国家安全局)  2000/12/22  2003/8/8  2.6.0-test3  SMACK  Casey Schaufler  2008/4/16  2.6.25  Tomoyo  NTT data
linux kernel directory
hunter
03-05 2621
LINUX内核目录文件说明以及配置并编译内核的方法感谢原文作者以及原文翻译者的无私奉献   http://blog.csdn.net/ffmxnjm/article/details/72933915       在下载内核前,我们应该讨论一些重要的术语和事实。Linux内核是一个宏内核,这意味着整个操作系统都运行在内核预留的内存里。说的更清楚一些,内核是放在内存里的。内核所使用的空间是内核预留的。...
selinux中文手册和详细解说
11-15
**SELinuxSecurity-Enhanced Linux)** 是一种强制访问控制机制,由美国国家安全局(NSA)开发,用于提高Linux操作系统的安全性。它通过精细的权限管理,为系统中的每个进程、文件和其他资源分配安全上下文,实现...
Android不同版本SELinux的介绍
01-01
安全增强型LinuxSELinux)是一种强制访问控制机制,最初由美国国家安全局(NSA)开发,旨在提高Linux系统的安全性。在Android系统中,SELinux扮演着至关重要的角色,它限制了应用程序和服务对系统的访问权限,从而...
linux重设root密码
12-14
这一步骤是非常关键的,因为它将允许我们访问 Linux 的命令行界面。 在编辑状态下,我们需要找到 linux16 所在行,并在末尾添加 rd.break console=tty0。这将允许我们以恢复模式启动系统。然后,按下 Ctrl+x 键,...
Linux环境安装oracle 11g数据库
09-20
1. **关闭SELinux和防火墙**:SELinux(安全增强型Linux)是一种强制访问控制机制,可能会阻止Oracle服务的正常运行。你可以通过编辑`/etc/selinux/config`文件,将`SELINUX=enforcing`改为`SELINUX=disabled`,或者...
《Red Hat Linux 9宝典》PDF
09-02
《Red Hat Linux 9宝典》是一本专为Linux初学者和进阶用户设计的全面教程,涵盖了Red Hat Linux 9操作系统的所有核心概念和技术。这本书深入浅出地讲解了Linux的基础知识,包括安装过程、系统管理、网络配置、安全...
windows cmd和PowerShell两种命令行工具区别;常见 PowerShell 命令;ps1脚本例子
weixin_42357472的博客
07-19 283
是 Windows 操作系统中两种不同的命令行解释器,它们在设计理念、功能和命令语法上有很大的区别。
python训练模型报错:BrokenPipeError: [Errno 32] Broken pipe
Dxy1239310216的博客
07-18 324
如果问题持续存在,并且你的项目不是必须在 Windows 上运行,考虑在 Unix/Linux 系统上运行你的代码。确保在数据加载器中使用的任何自定义函数或类都是可序列化的,因为多进程需要能够在不同进程间传递它们。进行多进程数据加载时尤其常见,尤其是在 Windows 系统上,因为 Windows 对多进程的支持与 Unix/Linux 系统有所不同。有时候,错误可能是由其他部分的代码引起的,而不是直接由数据加载器引起。如果问题依然存在,你可能需要更详细地检查你的代码或寻求更专业的帮助。
定制 Linux 内核的意义
地球空间
07-17 294
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
windows USB 设备驱动开发-开发Type C接口的驱动程序(二)
最新发布
苏洛的博客
07-20 365
UCM 是使用 WDF 类扩展客户端驱动程序模型设计的。 UcmCx类扩展是 Microsoft 提供的 WDF 驱动程序,它提供客户端驱动程序可以调用这些接口来报告有关连接器的信息。
Linux 2.6.19.x内核编译关键配置详解
本文档深入介绍了Linux 2.6.19.x内核编译配置选项,对于理解和定制特定版本的Linux内核至关重要。编译配置选项是根据系统需求和性能优化来定制内核的关键步骤,以下是一些关键配置项的详细解读: 1. **Code ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值