配置selinux的策略_[学习记录]SELinux自定义策略初步

最新推荐文章于 2024-04-24 10:09:49 发布
最新推荐文章于 2024-04-24 10:09:49 发布
阅读量691 收藏
点赞数 1
文章标签: 配置selinux的策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34518801/article/details/111943605
版权
本文详细记录了在CentOS7环境下配置SELinux自定义策略的过程,包括安装开发包、编写.te和.fc文件、生成并装载策略模块。通过实例解析了如何定义进程和文件类型,以及制定允许的规则,为更细粒度的权限控制提供指南。
摘要由CSDN通过智能技术生成

这篇文章主要记录了我如何学习selinux自订策略的,相关内容在网络上非常零散,自己也走了很多弯路,所以专门写了这么篇文章作为整理。

这里先提一句,关于selinux的配置,网上最容易搜索到的是对selinux程序的配置,例如开关,以及对某种协议的控制,这些内容在我之前整理selinux管理工具种有提到,是相对表面的selinux配置,本文的配置是从编写自定义的策略模块,并装载,因此管理粒度更细。

按照惯例这里先附上一些参考资料的网站

我采用的是centos7环境

在开发selinux策略之前,千万不要忘记安装selinux的开发包

yun install selinux-policy-devel

编写规则其实非常简单,

1.首先准备好一个空的文件夹作为工作目录

2.创建一个.te文件,内容如下,仅作参考

第一句policy_module是一句官方定义好的宏指令

第二句和第三句是定义了两种类型,test1_t为进程类型,test1_exec_t为可执行文件类型

第四句为规则,允许test1_t类型对test1_exec_t类型的文件进行read_file_perms的操作,后者也是个宏指令,包含若干具体操作类型

如果需要引入外部类型或角色需要加入以下内容

gen_require(`

type container_r;

role system_r;')

3.创建一个.fc文件,内容如下

最低0.47元/天 解锁文章
weixin_34518801
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置selinux策略_selinux策略配置
weixin_33668998的博客
12-24 805
SELinux (Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行...
selinux定义策略
zgrztzy的博客
02-04 1683
简介: sepolicy generate命令用于生成初始SELinux策略模块模板。 sepolicy generate还会创建一个RPM规范文件,该文件可用于构建RPM软件包,该软件包将策略软件包文件(NAME.pp)和接口文件(NAME.if)安装到正确的位置,将SELinux策略安装到内核中。 当sepolicy generate执行时,将产生以下文件: NAME.te–键入执行文件 该文件定义了特定域的所有类型和规则。 policy_module(exam...
探索Arch Linux Hardened的安全新境界:SELinux Policy for Arch
最新发布
gitblog_00059的博客
04-24 273
探索Arch Linux Hardened的安全新境界:SELinux Policy for Arch 项目地址:https://gitcode.com/archlinuxhardened/selinux-policy-arch 在开源世界中,安全和隐私始终是不可忽视的主题。当谈到Linux安全强化时, SELinux(Security Enhanced Linux)是一个强大的工具,它为系统提...
在非标准配置中为 Apache HTTP 服务器自定义 SELinux 策略
weixin_53308294的博客
04-22 536
文章目录一.下载软件包二.创建目录,写入内容三.写配置文件四.启动httpd服务并检查状态五.SELinux策略运行在9091端口六.重启服务七.排查内容无法的原因八.修改标签九.递归重新标记 /www/test 目录十.验证: 一.下载软件包 [root@localhost ~]# yum install policycoreutils-python-utils -y [root@localhost ~]# yum install setroubleshoot-server -y 注意: 下载前需要先挂载
selinux-编写策略
vrix的专栏
09-01 4221
编写 SELinux 政策 Android 开放源代码项目 (AOSP) 针对所有 Android 设备中常用的应用和服务提供了一个可靠实用的基本政策。AOSP 的贡献者会定期完善该政策。该核心政策应占设备上最终政策的 90-95%,而剩下的 5-10% 则为设备专用自定义政策。本文重点介绍了这些设备专用自定义政策、如何编写设备专用政策,以及在编写此类政策时要避免的一些陷阱。 设备
关闭selinux_SELinux入门
weixin_39661353的博客
11-18 391
初识SELinux什么是SELinux说专业一点: 安全性增强的Linux(SELinux)是Linux内核中强制性访问控制机制的一种实现, 它在检查了标准的自由访问控制后检查允许的操作. SELinux可以基于定义策略对Linux系统中的文件和进程及其动作实施规则.说的通俗一点: SELinux在大多数情况下可以理解为一个以进程为主体的资源访问白名单.再絮叨几点:额外的安全层: SE...
selinux_internal.rar_SELinux_The First
09-14
6. **审计系统**:SELinux通过审计子系统记录所有的安全决策,帮助管理员监控系统行为并调试策略问题。 7. **进程类型(Process Types)**:每个进程都有一个关联的进程类型,限制了该进程可以执行的操作。 8. **...
selinux-example_SELinux_
09-28
策略通常存储在`/etc/selinux/config`配置文件中,并可以通过`semanage`工具进行修改。执行部分则由内核中的安全模块实现,监控并控制进程间的交互。 **二、SELinux的模式** SELinux有三种运行模式:Enforcing、...
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
1. **策略配置**:策略通常存储在`/etc/selinux/config`配置文件中,可以通过修改此文件来设置运行模式。 2. **策略模块**:策略由一系列规则组成,这些规则定义了安全上下文和访问权限。策略模块可以是预编译的,也...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如...
操作系统安全:实验配置selinux策略(实验一).docx
06-02
本实验旨在帮助用户理解和掌握SELinux的基本操作,包括命令使用、策略配置以及安全上下文的管理。 实验一主要围绕以下几个知识点展开: 1. **SELinux模式**: - **enforcing**:这是SELinux的默认运行模式,它会...
SELinux策略语法以及示例策略
weixin_46645613的博客
01-01 1362
type a;#定义一个类型 atype a_t;#定义一个类型 a_t#定义一个属性 TestFile#定义一个类型 b_t,具有属性 TestFile#使a_t也具有TestFile属性type 和 attribute 两者位于同一个命名空间,也就是说如果定义了 type a,那就不能定义 attribute aa_t,后面有个 t 是表示 “type” 类型,这是 PC 端 SELinux 策略常见写法,但是 Android 不这样用,没有后缀。
配置selinux策略_SELinux配置
weixin_39728909的博客
12-24 374
SELinux配置概述自主访问控制DAC(Discretionary Access Control)基于用户、组和其他权限,决定一个资源是否能被访问的因素是某个资源是否拥有对应用户的权限,它不能使系统管理员创建全面和细粒度的安全策略SELinux(Security-Enhanced Linux)是Linux内核的一个模块,也是Linux的一个安全子系统。SELinux的实现了强制访问控制MAC(...
如何在SELinux中为新的后台程序编写策略
最实用的Linux博客
11-05 2132
原贴:http://www.sep14.cn/selinux-policy-howto.html如何在SELinux中为新的后台程序编写策略writing new policy for a daemon in red hat selinux guide, 给出了一般的步骤或者说一种方法学,这里打算翻译一些这一段,算是一种自我回顾总结,也希望对从事类似工作的人有所帮助。另外,SEBSD虽
SELinux安全策略的设置及应用
weixin_34336292的博客
09-19 535
今天给大家分享的可能是很多人觉得没什么意义的一项内容,其实不是它没什么意义,而是说它使用起来比较麻烦,因为启用SELinux安全策略之后,每个应用程序的访问域和文件的安全标签都是需要严格匹配后,才能执行访问操作的,所以如果稍有设置上的不当,便会导致应用程序出错,但任何事情都是双面性的,自己设置起来比较麻烦的同时,也给相应的应用程序数据提供了足够的安全保障,比如说,我们...
嵌入式实践教程--自定义SELinux
Muggle的博客
12-03 1606
我们在自定义hal层/app时可能会遇到selinux权限的问题,这个时候就需要自定义selinux权限。一般来说vendor自定义的*.te都位于/device/manufacturer/device-name/sepolicy。 板级相关的xxx.mk文件会将te文件复制进文件系统。 1.sepolicy模版 在以下示例中,所有域都被授予向/dev/null读写数据的权限以及从/dev/zero读取数据的权限。 # Allow read / write access to /dev/nu...
SELinux: 如何让selinux对某些命令放行,自定义selinux规则。
BobChill的博客
10-06 1152
1.setting selinux to permissive mode 暂时关闭selinux,让操作进行下去,这个时候selinux还是会将记录log到audit.log里的 setenforce 0 2.disabling selinux dontaudit 这样可以让selinux没有遗漏的记录所有permission denied message,同样写入audit.log semodule --disable_dontaudit --build 检验dontaudit有没有被禁用
SELinux策略语言--编写TE规则
u014674293的博客
08-02 667
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
SElinux 读懂.te 定义自己的 .te【转】
zzb2760715357的博客
07-23 145
本文转载自:https://blog.csdn.net/kongbaidepao/article/details/61417291 一、 .te 文件定义中的一些宏 1.1 unix_socket_connect(1,1,2, $3 )这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: #####################...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值