Linux系统selinux目录,SELinux深入理解

最新推荐文章于 2024-05-05 21:11:42 发布
最新推荐文章于 2024-05-05 21:11:42 发布
阅读量832 收藏
点赞数
文章标签: Linux系统selinux目录

1. 简介

SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。

Security-Enhanced Linux (SELinux)由以下两部分组成:

Kernel SELinux模块(/kernel/security/selinux)

用户态工具

SELinux是一个安全体系结构,它通过LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中。它是NSA (United States National Security Agency)和SELinux社区的联合项目。

SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。

SELinux对系统用户(system users)是透明的,只有系统管理员需要考虑在他的服务器中如何制定严格的策略。策略可以根据需要是严格的或宽松的。

只有同时满足了【标准Linux访问控制】和【SELinux访问控制】时,主体才能访问客体。

1.1 DAC与MAC的关键区别(root用户)

安 全增强型Linux(SELinux)开始是由NSA(国家安全局)启动并加入到Linux系统中的一套核心组件及用户工具,可以让应用程序运行在其所需的最低权限上。未 经修改过的Linux系统是使用自主访问控制的,用户可以自己请求更高的权限,由此恶意软件几乎可以访问任何它想访问的文件,而如果你授予其root权 限,那它就无所不能了。

在SELinux中没有root这个概念,安全策略是由管理员来定义的,任何软件都无法取代它。这意味着那些潜在的恶意软件所能造成的损害可以被控制在最小。一般情况下只有非常注重数据安全的企业级用户才会使用SELinux。

操作系统有两类访问控制:自主访问控制(DAC)和强制访问控制(MAC)。标准Linux安全是一种DAC,SELinux为Linux增加了一个灵活的和可配置的的MAC。

所有DAC机制都有一个共同的弱点,就是它们不能识别自然人与计算机程序之间最基本的区别。简单点说就是,如果一个用户被授权允许访问,意味着程序也被授权访问,如果程序被授权访问,那么恶意程序也将有同样的访问权。 DAC最根本的弱点是主体容易受到多种多样的恶意软件的攻击,MAC就是避免这些攻击的出路,大多数MAC特性组成了多层安全模型。

SELinux实现了一个更灵活的MAC形式,叫做类型强制(Type Enforcement)和一个非强制的多层安全形式(Multi-Level Security)。

在Android4.2中,SELinux是个可选项,谷歌并没有直接取消root权限或其他功能。这是一个为企业级用户或是对隐私数据极为重视的用户提供的选项,普通消费者则完全可以关闭它。

2. SELinux的运行机制

SELinux决策过程如下图所示:

00a8c99cc3e6

image.png

当一个subject(如: 一个应用)试图访问一个object(如:一个文件),Kernel中的策略执行服务器将检查AVC (Access Vector Cache), 在AVC中,subject和object的权限被缓存(cached)。如果基于AVC中的数据不能做出决定,则请求安全服务器,安全服务器在一个矩阵中查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问,拒绝消息细节位于/var/log/messages中。

3. SELinux伪文件系统

/selinux/伪文件系统kernel子系统通常使用的命令,它类似于/proc/伪文件系统。系统管理员和用户不需要操作这部分。

/selinux/目录举例如下:

-rw-rw-rw- 1 root root 0 Sep 22 13:14 access

dr-xr-xr-x 1 root root 0 Sep 22 13:14 booleans

--w------- 1 root root 0 Sep 22 13:14 commit_pending_bools

-rw-rw-rw- 1 root root 0 Sep 22 13:14 context

-rw-rw-rw- 1 root root 0 Sep 22 13:14 create

--w------- 1 root root 0 Sep 22 13:14 disable

-rw-r--r-- 1 root root 0 Sep 22 13:14 enforce

-rw------- 1 root root 0 Sep 22 13:14 load

-r--r--r-- 1 root root 0 Sep 22 13:14 mls

-r--r--r-- 1 root root 0 Sep 22 13:14 policyvers

-rw-rw-rw- 1 root root 0 Sep 22 13:14 relabel

-rw-rw-rw- 1 root root 0 Sep 22 13:14 user

如cat e

最低0.47元/天 解锁文章
白庆堂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统selinux目录,linuxselinux学习笔记
weixin_39795268的博客
05-05 158
selinux作用是为了加固操作系统,是NSA的一个项目,为了让系统安全性达到军方级别CS:安全上下文(context secure),含义就是:一个进程到底能访问哪些文件取决于发起进程的用户的权限和访问的文件的权限设定vim /etc/sysconfig/selinux :strict: NFA 开发,全系统进程和文件都会被selinux 所控制targeted:redhat开发,只对某些需要控...
linux 查看网站目录权限,解决SELinux对网站目录权限控制的不当的问题
weixin_39519741的博客
04-28 288
前言:本文主要介绍了因为SELinux对网站目录权限控制的不当而引起网站无法正常操作和访问的问题。正文开始:今天下午闲着没有事做于是突然兴起想尝试安装下Drupal。以前用Wordpress做博客久了,总想着尝尝新。按照Installtion Guide提示的安装步骤进行操作如下:wgethttp://drupal.org/files/projects/drupal-7.12.tar.gztar...
LinuxSELinux、Shell简介、touch命令的应用知识总结_shell touch
最新发布
2301_77116622的博客
05-05 635
Shell:n.外壳;炮弹;(贝、卵、坚果等的) 壳;(人的) 表面性格;vt.去壳,脱落;炮击;vi.剥皮;炮轰;Shell在Linux俗称“壳”,Shell处于Linux Kernel的外围,就像个“壳”一样,如下图所示:Linux Kernel承担的任务是上层的服务、应用以及硬件控制等,但Linux Kernel是无法直接去控制的,也即用户是不允许直接与Linux Kernel进行通信的。这里就需要借助Shell这个“壳”。
SELinux详解
不知道
03-25 8187
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
SELinux整理笔记
liguangxianbin的博客
05-25 5195
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
LinuxSELinux
嚴 帅的博客
01-09 665
一、SELinux说明 SELinuxSecurity-Enhanced Linux的缩写,文意思你是安全强化的linuxSELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用。 系统资源都是通过程序进行访问的,如果将/var/www/html/权限设置为777,代表所有程序均可对该目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以...
selinux简介
08-30 1003
一、SELinux简介 SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当,因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。 现在主流发现的Linux版本里面都集成了SELinux.
一文彻底明白linuxselinux到底是什么
weixin_30546189的博客
02-13 324
https://www.phpyuan.com/235739.html 一、前言 安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 SELinux 的结构及...
/etc/selinux/config与/etc/sysconfig/selinuxselinux状态设置
阿白,
09-28 3245
/etc/sysconfig/selinux是指向原文件/etc/selinux/config的一个软连接文件, 修改/etc/sysconfig/selinux会破坏连接关系使其变成普通的文件不再是系统认为的selinux的配置文件 建议修改/etc/selinux/config即可 设置selinux状态方法有永久和临时两种 永久: 修改配置文件/etc/selinux/config的SELINUX=disabled,然后需要重启服务器生效 临时: getenforce可以查看当前selinux的状态
Linuxselinux服务
Jelly
02-24 609
一、基本介绍 全称:NSA Security-Enhanced Linux(内核级加强火墙) 配置文件:/etc/sysconfig/selinux 功能:1.给系统每个文件及程序加载安全上下文,特定的安全上下文的程序只能访问特定的安全上下文文件; 2.对服务本身不安全的功能加载sebool,并且设定开关为关闭状态,当需要此服务时需要超级用户手动开启。 状态: Disabled...
Linux的二级目录介绍以及文件系统的基本操作命令
qq_61945256的博客
03-20 3382
Linux的二级目录介绍以及文件系统的基本操作命令
/etc/sysconfig/selinux 配​置​文​件​————相关介绍
zjt289198457的专栏
10-09 6453
/etc/sysconfig/selinux 配​置​文​件​ 在 红帽企业 Linux下​,可​以​使​用​两​种​方​法​来​配​置 SELinux:使​用 安全级别配置工具 (system-config-securitylevel) 或​手​动​编​辑​配​置
linux学习笔记1(服务器配置前准备工作)
m0_69159812的博客
12-03 774
Linux运维学习笔记
展讯Android 10 :读写节点SeLinux权限问题
AiHH的博客
03-08 4448
SeLinux权限问题本来是在adb logcat搜索avc,但是展讯平台的SeLinux权限相关log好像不会在logcat打印出来,应该在ylog的某个文件会打印权限问题log(由于项目配置原因,ylog用不了,所以没有跟下去),这里我只看了logcat 先说下展讯se权限相关文件位置: init.rc 文件位置(android初始化文件,在此文件初始化目标文件的777权限) device/sprd/sharkle/common/rootdir/root/init.common.rc file
2022-07-20 Android 11 SELinux avc 修改sys目录下面某个节点的权限
海月汐辰
07-20 1825
1、在file.te,加入一个域的别名,如在该例,我们原本需要访问的是sysfs域的一个文件,所以我们在file.te定义一个新的域,名字可以随便取,定义一个叫做sysfs_powerenable的域(domain),该域具有fs_type和sysfs_type属性(attribute)如。5、编译的时候可能会有提示不允许untrustedapps写sysfs下面的节点,按下面的修改策略。3、在我们新建的powerenable.te策略文件,把之前的sysfs替换为我们新定义的域,即。......
Android Selinux 应用读写设备节点
人生只是一种体验,不必用来演绎完美。
01-22 3635
写入设备节点 final String FILE_PATH = "/sys/dev"; private void writeSysFile(){ final File file = new File(PATH_REPORT) ; String cmd = "1"; FileOutputStream fos = null; try{ fos = new FileOutputStream(file);
linux内核入门之创建sys文件夹及文件读写
我的博客
11-26 953
linux内核入门之创建sys文件夹及文件读写
Linux---03】Linux初识篇:Linux下的重要目录/proc, /sys, /SElinux, /bin, /usr/lib, /usr/local, /var, /tem
白小鱼的博客
05-11 287
目录 重要目录: 01.目录/proc 02./sys 03./SElinux 04./bin 05./usr/lib 06./usr/local 07./var 08./tmp 重要目录: 01.目录/proc /proc是系统内核提供的文件系统(也是伪文件系统),它放置的数据都是内核的信息; 例如:系统核心,行程信息,周边装置的状态以网络状态等等。 ...
linux目录介绍和命令总结(后期续更)
热门推荐
共同进步
07-16 1万+
linux系统目录介绍,常用命令总结
etc/sysconfig/selinux与/etc/selinux/config 区别
啸风
10-14 2098
/etc/sysconfig/selinux与/etc/selinux/config 区别 修改的配置文件的时候,有时候也会进入到/etc/sysconfig/selinux,显示的内容跟/etc/selinux/config一样, 在查看/etc/sysconfig/selinux文件属性后,可以看出/etc/sysconfig/selinux是/etc/selinux/config的一个软件连...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值