selinux= 为 disabled_Selinux安全加固

最新推荐文章于 2023-11-21 16:43:56 发布
最新推荐文章于 2023-11-21 16:43:56 发布
阅读量1.3k 收藏
点赞数
文章标签: selinux= 为 disabled

ed0d469f4b372c7a9aad89b06d4fabdf.png

Selinux介绍

SELinux:Security-Enhanced Linux, 是美国国家安全局(NSA=The

National Security Agency)和SCC(Secure ComputingCorporation)开发的

Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布, Linux内核版本后集成在内核中

DAC:Discretionary Access Control自由访问控制

MAC:Mandatory Access Control 强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源(文件和端口)

默认情况下,没有被明确允许的行为将被拒绝

Selinux策略

对象(object):所有可以读取的对象,包括文件、目录和进程,端口等

主体:进程称为主体(subject)

SELinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义

当一个subject试图访问一个object, Kernel中的策略执行服务器将检查AVC(访问矢量缓存Access Vector Cache), 在AVC中, subject和object的权限被缓存

(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问

安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的,并且定义了哪种行为是充许或拒绝

Selinux工作过程  

Selinux工作类型

SELinux有四种工作类型:

Strict:CentOS 5,每个进程都受到selinux的控制

targeted:用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程, CentOS 4只保护13个服务, CentOS 5保护88个服务

minimum:CentOS 7,修改的 targeted, 只对选择的网络服务

mls:提供MLS(多级安全)机制的安全性

targeted为默认类型, minimum和mls稳定性不足,未加以应用,strict已不再使用

selinux安全上下文

传统Linux,一切皆文件,由用户,组,权限控制访问

在SELinux中,一切皆对象(object),由存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签:安全上下文( security context)

安全上下文有五个元素组成:

user:role:type:sensitivity:category

user_u:object_r:tmp_t:s0:c0

实际上下文:存放在文件系统中, ls –Z;ps –Z

期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中

semanage fcontext –l

五个安全元素

User:指示登录系统的用户类型,进程:如system_u为系统服务进程,是受到管制的, unconfined_u为不管制的进程,用户自己开启的,如 bash,文件:

system_u系统进程创建的文件, unconfined_u为用户自已创建的文件

Role:定义文件,进程和用户的用途:进程:system_r为系统服务进程,受到管制。unconfined_r 为不管制进程,通常都是用户自己开启的,如 bash,文件:object_r

Type:指定数据类型,规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用:public_content_t

Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0

Category:对于特定组织划分不分层的分类,如FBI Secret, NSA secret, 一个对象可以有多个categroy, c0-c1023共1024个分类, Target 策略不使用category

设置selinux

配置SELinux:

SELinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

SELinux的日志管理

SELinux的状态:

enforcing:强制,每个受限的进程都必然受限

permissive:允许,每个受限的进程违规操作不会被禁止,但会被记录于

审计日志

disabled:禁用

配置selinux

相关命令:

getenforce: 获取selinux当前状态

sestatus :查看selinux状态

setenforce 0|1

0: 设置为permissive

1: 设置为enforcing

配置文件:

/boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

/boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

/etc/selinux/config

/etc/sysconfig/selinux

SELINUX={disabled|enforcing|permissive}

默认安全上下文查询与修改

semanage:来自policycoreutils-python包

查看默认的安全上下文

semanage fcontext –l

添加安全上下文

semanage fcontext -a –t httpd_sys_content_t ‘/testdir(/.*)?’

restorecon –Rv /testdir

删除安全上下文

semanage fcontext -d –t httpd_sys_content_t ‘/testdir(/.*)?’

selinux端口标签

查看端口标签

semanage port –l

添加端口

semanage port -a -t port_label -p tcp|udpPORT

semanage port -a -t http_port_t -p tcp 9527

删除端口

semanage port -d -t port_label -p tcp|udpPORT

semanage port -d -t http_port_t -p tcp 9527

修改现有端口为新标签

semanage port -m -t port_label -p tcp|udpPORT

semanage port -m -t http_port_t -p tcp 9527

selinux日志管理

yum install setroubleshoot( 重启生效)

将错误的信息写入/var/log/message

grep setroubleshoot /var/log/messages

查看安全事件日志说明

sealert -l UUID

扫描并分析日志

sealert -a /var/log/audit/audit.log

继续关注,后续持续更新......

目前10000+人已关注加入我们

595597d9f0d3575ff6cb0fbedb9e0445.png a9fcdf4d6e654952b3773025341bc257.png 85df437a451775fd3b88111aa0e8b37a.png df1024d571ddea39d9b7fe8c16a32e22.png b38650ac53be449b701771796b64f852.png 28091d9ea682f1d32414af764ea809c3.png 8b261d0f765cdf81045f2cf5f945f890.png bcc2508a1279c20462896bbcf625784c.png

adb465b208a00c77e2490def15b5a0c8.png ac3183f9962e91529caecfdd781d85b2.png 9c279629c0dc0a36fcfe078bb50163aa.png 6441eb1d777c97bf9cc78aa1d7037d1a.png c6cadee0ee8d66f90ed643808a156c0d.png 1cc7abf609fb8eabb5d354b56f58df24.png d6ab9ef57ab949ae245a0d5b201b67cb.png 640315a334be8c90138b5a7491a97442.png

01b0ab6c73f26dd24601a7c31ae870a5.png

weixin_39782752
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的 该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如,现有的三星内核。 如何安装: 稳定发布: 从发布页面最新的selinux_permissive.zip MagiskManager->模块+ Downloads / selinux_permissive.zip->重新启动 主分支: git clone cd selinux_permissive 进行安装 支持
【CentOS7】临时&永久关闭selinux
野生Java小菜鸟的博客
02-04 1736
临时关闭selinux setenforce 0 开启selinux setenforce 1 查看selinux状态 getenforce 更改selinux的配置文件 # vi /etc/selinux/config 更改SELINUX=enforcing为SELINUX=disabled即可永久关闭 更改前: # This file controls the state of SELinux on the system. # SELINUX= can take one of these thr
Linux如何禁用SELiunx
weixin_44039040的博客
08-16 1313
步骤一:打开 /etc/selinux/config文件(其他系统也可能是/etc/sysconfig/selinux)步骤三:将这一行内容 SELINUX=enforcing 修改为 SELINUX=permissive,保存退出。步骤二:将SELINUX=permissive 修改为 SELINUX=enforcing。步骤二:打开 /etc/selinux/config文件(其他系统也可能是。步骤四:运行以下命令禁用SELinux。步骤三:执行以下命令开启。步骤四:查看是否开启成功。
SELinux状态切换及设置
hsday的博客
07-04 1514
Security Enhanced Linux, 安全增强型 Linux 系统源于美国国家安全局(NSA)强制保护安全策略主要针对 Linux 系统中的⽂件、进程等提供策略保护,控制权限,资源等访问为最小权限。
centos怎么禁用和关闭selinux
JttiSEO的博客
10-26 2514
请注意,尽管SELinux已经禁用,您的系统仍然具有其他安全措施来保护其安全性。如果您以后决定重新启用SELinux,请只需编辑 /etc/selinux/config 文件并将 SELINUX= 设置为 enforcing,然后重新启动系统。或者,您也可以将其更改为 permissive,这会将SELinux设置为不执行强制访问控制,但仍会记录违规操作,以便进行审查。2.编辑SELinux配置文件 /etc/selinux/config,可以使用文本编辑器如vi或nano。4.保存更改并关闭文件。
Linux中关闭selinux
小飞侠的博客
04-24 1万+
Linux中关闭selinux
selinux= 为 disabled_SELINUX工作原理
weixin_39772566的博客
11-26 2488
1. 简介SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。 Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security ...
selinux= 为 disabled_理解Linux下的SELinux
weixin_39631316的博客
11-26 3325
理解Linux下的SELinux长久以来,每当遇到授权问题或者新安装的主机,我的第一反应是通过setenforce 0命令禁用SELinux,来减少产生的权限问题,但是这并不是一个良好的习惯。这篇文章尝试对SELinux的基本概念和用法进行简单介绍,并且提供一些更深入的资料。Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Li...
centos7 关闭防火墙和selinux
qq_42750363的博客
09-18 5962
一、关闭防火墙 1、临时关闭(下次开机启动,自动启动防火墙) [root@localhost ~]# systemctl stop firewalld 2、查看防火墙状态 [root@localhost ~]# systemctl status firewalld 3、永久关闭防火墙(开机启动时不在启动) [root@localhost ~]# systemctl disable firewalld 二、关闭SElinux 1、查看se
LINUX中错误 SELinux is disabled
热门推荐
oldmonk
07-13 1万+

 解决: setenforce: SELinux is disabled
 那么说明selinux已经被彻底的关闭了
 如果需要重新开启selinux,请按下面步骤:
 
 vi /etc/selinux/config
 更改为:SELINUX=1
 
 
 必须重启linux,不重启是没办法立刻开启s...
selinux-example_SELinux_
09-28
linux selinux development
selinux_internal.rar_SELinux_The First
09-14
Call handler iff the first call.
selinux实现为linux安全模块报告
12-28
美国NSA对selinux实现的整理报告,非常系统,详细,有助于了解linux。
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
SELinux notebook 4th edition
selinux= 为 disabled_微课 | 状态管理 SELinux(2)
weixin_39955351的博客
11-26 245
前导课程:微课 | 隔离机制 - SELinux(1)本次微课将学习SELinux的状态管理,包括视频+文字,大约需要你16分钟。另外,文末还有一则IT冷笑话,学习之余、会心一笑:)SELinux有三种状态:enforcing 强制模式,阻止违反规则的行为并记录到日志中permissive 宽容模式,不阻止违反规则的行为,仅记录到日志中disabled 关闭SELinux获得状态信息1 ...
【运维】永久关闭selinux不当,导致无法启动
最新发布
清风唱诗人的博客
11-21 687
selinux=disabled 写错成disable 或者 错误的把selinuxtype改了,要改文中红框的部分。4. 进入主系统,vim /etc/sysconfig/selinux 按照正确的重新编写。3. 方向下键找到linux16这一行,在末尾添加上selinux=0,然后ctrl+x继续启动。备注: 实在无法修复的时候,执行如下,重新安装SElinux policy,重新启动。现象: 卡centos loading进度条。2. 出现选择画面的时候 按e。
linux学习:selinux 禁用后(disabled)Linux系统无法正常启动解决
weixin_34112030的博客
11-14 4698
参数改错地方了,应该修改SELINUX=disabled,却改成了SELINUXTYPE=disabled, 重启就会出现如下: 重启:按e,进入如下: 按e,选择第2个:进入如下: 按e进入编辑,在末尾增加enforcing=0:进入如下 输入后自动就变成这样了 按回车键,再按b,如下: 记得把配置改回来: SELIN...
selinux
weixin_44490853的博客
02-21 132
1.定义 selinux是内核级加强型火墙 2.selinux支持的三种模式 getenforce enforcing ##强制开启 会警告你也会拒绝你 permissive ##警告开启,会警告但不会拒绝 disabled ##关闭 3.切换模式 开启和关闭模式切换,需要重新启动 两种开启模式可以相互转换,不需要重启动 setenforce 0 ##警告 setenforc...
查看SELinux状态和设置SELinux
nathan8的博客
02-21 2178
1. 查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [root@localhost ~]# getenforce Enforcing 1.2 /usr/sbin/
selinux=disabled
03-16
selinux=disabled 表示 SELinux 安全模块被禁用。SELinux 是一种安全增强的 Linux 内核模块,它可以限制进程的权限,防止恶意程序的攻击和提高系统的安全性。如果 SELinux 被禁用,系统的安全性可能会受到影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值