linux必须运行在enforcing,Linux系统中SELinux的工作模式(Disabled、Permissive和Enforcing)...

最新推荐文章于 2024-04-28 20:36:48 发布
最新推荐文章于 2024-04-28 20:36:48 发布
阅读量307 收藏
点赞数
文章标签: linux必须运行在enforcing

通过对SElinux的介绍,初学者可以这样认为,在传统Linux系统使用访问控制方式的基础上,附加使用SELinux可增强系统安全。那么,SELinux是如何运行的呢?

在解释 SELinux 的工作模式之前,先解释几个概念。主体(Subject):就是想要访问文件或目录资源的进程。想要得到资源,基本流程是这样的:由用户调用命令,由命令产生进程,由进程去访问文件或目录资源。在自主访问控制系统中(Linux默认权限中),靠权限控制的主体是用户;而在强制访问控制系统中(SELinux中),靠策略规则控制的主体则是进程。

目标(Object):这个概念比较明确,就是需要访问的文件或目录资源。

策略(Policy):Linux系统中进程与文件的数量庞大,那么限制进程是否可以访问文件的 SELinux规则数量就更加烦琐,如果每个规则都需要管理员手工设定,那么SELinux的可用性就会极低。还好我们不用手工定义规则,SELinux默认定义了两个策略,规则都已经在这两个策略中写好了,默认只要调用策略就可以正常使用了。这两个默认策略如下:-targeted:这是SELinux的默认策略,这个策略主要是限制网络服务的,对本机系统的限制极少。我们使用这个策略已经足够了。

-mls:多级安全保护策略,这个策略限制得更为严格。

安全上下文(Security Context):每个进程、文件和目录都有自己的安全上下文,进程具体是否能够访问文件或目录,就要看这个安全上下文是否匹配。如果进程的安全上下文和文件或目录的安全上下文能够匹配,则该进程可以访问这个文件或目录。当然,判断进程的安全上下文和文件或目录的安全上下文是否匹配,则需要依靠策略中的规则。举个例子,我们需要找对象,男人可以看作主体,女人就是目标了。而男人是否可以追到女人(主体是否可以访问目标),主要看两个人的性格是否合适(主体和目标的安全上下文是否匹配)。不过,两个人的性格是否合适,是需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断的(安全上下文是否匹配是需要通过策略中的规则来确定的)。

我们画一张示意图,来表示一下这几个概念之间的关系,如图1所示。

36e4f03ce287d42ce7d100f57668492e.png

图1 SELinux运行模式的相关概念

解释一下这张示意图:当主体想要访问目标时,如果系统中启动了SELinux,则主体的访问请求首先需要和SELinux中定义好的策略进行匹配。如果进程符合策略中定义好的规则,则允许访问,这时进程的安全上下文就可以和目标的安全上下文进行匹配;如果比较失败,则拒绝访问,并通过AVC(Access Vector Cache,访问向量缓存,主要用于记录所有和SELinux相关的访问统计信息)生成拒绝访问信息。如果安全上下文匹配,则可以正常访问目标文件。当然,最终是否可以真正地访问到目标文件,还要匹配产生进程(主体)的用户是否对目标文件拥有合理的读、写、执行权限。

我们在进行SELinux管理的时候,一般只会修改文件或目录的安全上下文,使其和访问进程的安全上下文匹配或不匹配,用来控制进程是否可以访问文件或目录资源;而很少会去修改策略中的具体规则,因为规则实在太多了,修改起来过于复杂。不过,我们是可以人为定义规则是否生效,用以控制规则的启用与关闭的。

SELinux的工作模式

SELinux提供了3种工作模式:Disabled、Permissive和Enforcing,而每种模式都为Linux系统安全提供了不同的好处。

Disable工作模式(关闭模式)

在Disable模式中,SELinux被关闭,默认的DAC访问控制方式被使用。对于那些不需要增强安全性的环境来说,该模式是非常有用的。

例如,若从你的角度看正在运行的应用程序工作正常,但是却产生了大量的SELinux AVC拒绝消息,最终可能会填满日志文件,从而导致系统无法使用。在这种情况下,最直接的解决方法就是禁用SELinux,当然,你也可以在应用程序所访问的文件上设置正确的安全上下文。

需要注意的是,在禁用SELinux之前,需要考虑一下是否可能会在系统上再次使用SELinux,如果决定以后将其设置为Enforcing或Permissive,那么当下次重启系统时,系统将会通过一个自动SELinux文件重新进程标记。

关闭SELinux的方式也很简单,只需编辑配置文件/etc/selinux/config,并将文本中SELINUX=更改为SELINUX=disabled即可,重启系统后,SELinux就被禁用了。

Permissive工作模式(宽容模式)

在 Permissive 模式中,SELinux 被启用,但安全策略规则并没有被强制执行。当安全策略规则应该拒绝访问时,访问仍然被允许。然而,此时会向日志文件发送一条消息,表示该访问应该被拒绝。

SELinux Permissive模式主要用于以下几种情况:

审核当前的SELinux策略规则;

测试新应用程序,看看将SELinux策略规则应用到这些程序时会有什么效果;

解决某一特定服务或应用程序在SELinux下不再正常工作的故障。

某些情况下,可使用audit2allow命令来读取SELinux审核日志并生成新的SELinux规则,从而有选择性地允许被拒绝的行为,而这也是一种在不禁用SELinux的情况下,让应用程序在Linux系统上工作的快速方法。

Enforcing工作模式(强制模式)

从此模式的名称就可以看出,在Enforcing模式中,SELinux被启动,并强制执行所有的安全策略规则。

本文来自投稿,不代表访得立场,如若转载,请注明出处:http://www.found5.com//view/1058.html

weixin_39853892
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux宽松模式,SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
weixin_42393272的博客
05-12 2865
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换在Android的root相关的文章里经常会看到关于SElinux,Android4.3以后引进SElinux。###SELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux目前 SELinux 支持三种模式,分别如下...
SELinux工作模式DisabledPermissiveEnforcing)
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-07 875
通过对 SELinux 的介绍,初学者可以这样认为,在传统 Linux 系统使用访问控制方式的基础上,附加使用 SELinux 可增强系统安全。那么,SELinux 是如何运行的呢? 在解释 SELinux工作模式之前,先解释几个概念。 主体(Subject):就是想要访问文件或目录资源的进程。想要得到资源,基本流程是这样的:由用户调用命令,由命令产生进程,由进程去访问文件或目录资...
SeLinux问题解决方法
a785722173的博客
03-29 5395
SeLinux问题解决方法 1、确认SeLinux导致的权限问题 1.1 SeLinux的三种状态 SeLinux有三种状态,分别如下: 1、Enforcing:强制模式,表示SeLinux运作当,所有违反其规则的操作都会被阻止执行; 2、Permissive:宽容模式, 表示SeLinux运作当,但不会限制违反其规则的操作,只会给出警告信息; 3、Disable:关闭,SeLinux并没有实...
SELINUX(Security-Enhanced Linux 安全增强型Linux)(Enforcing、PermissiveDisabled
最新发布
2401_83946509的博客
04-28 345
SELinux主要使用两种类型的策略:目标和严格。默认的是目标策略,它针对并限制了选定的系统进程。严格策略限制了系统上的所有进程。sestatus以上命令将显示当前的SELinux状态,包括正在加载的策略。
SELinux 的3种工作模式DisabledPermissiveEnforcing
随笔记录-分享&记忆
08-16 4437
文章目录SELinux是什么SELinux的作用安装SELinuxSELinux 3种工作模式Disable[关闭]工作模式Permissive[宽容]工作模式Enforcing[强制]模式SELinux 3种工作模式切换setenforce 切换模式SELinux运行模式的开启和关闭 SELinux是什么 SELinux,Security Enhanced Linux 的缩写,也就是安全强化的 Linux,是由美国国家安全局(NSA)联合其他安全机构(比如 SCC 公司)共同开发的,旨在增强传统 Li
SELinux permissive模式 设置
子燕若水的博客
10-25 6959
0、getenforce ##也可以用这个命令检查 关闭SELinux: 1、临时关闭(不用重启机器): setenforce 0 ##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 参考链接https://blog.csdn.net/tangsilian/article/details/80144112 ...
Linux基础课件-SELinux运行模式.pptx
11-02
在此文件,修改 `SELINUX` 变量的值,如 `SELINUX=disabled` 表示禁用SELinux,`SELINUX=enforcing` 表示启用强制模式,`SELINUX=permissive` 则为允许模式。修改后需重启系统使更改生效。 **小结** 理解并掌握...
linux如何关闭selinux?.pdf
03-22
**SELinux(Security-Enhanced Linux)** 是Linux操作系统的一种安全子系统,它提供了一种强制访问控制机制,用于增强系统的安全性。SELinux通过定义严格的策略,限制了进程对系统资源的访问,从而降低了系统被...
Linux网络操作系统基础:FTP服务配置.ppt
06-16
SELinux有三种运行模式:Enforcing(强制),Permissive(宽容)和Disabled(禁用)。Enforcing模式下,策略会被强制执行,根据规则允许或拒绝访问;Permissive模式则不强制执行策略,但会记录尝试访问的日志;...
Linuxselinux基础配置教程详解
09-15
Linux系统,Security-Enhanced LinuxSELinux)是一个重要的安全子系统,它通过强化内核来增强系统的安全性。本文将深入讲解如何在Linux环境配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **...
Linux系统安装后的基本优化与安全设置.pdf
01-11
SELinux有三种工作模式enforcing(强制执行)、permissive(宽容模式,只警告不阻止)和disabled(关闭)。 关闭SELinux的两种方法: 1. 使用`sed`命令直接编辑配置文件`/etc/selinux/config`,将`SELINUX=...
linux必须运行enforcing,设置 Selinux环境为 Enforcing模式
weixin_39988930的博客
05-01 1592
设置 Selinux环境为 Enforcing模式2019-02-20SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件。1、vim /etc/selinux/configS...
linux系统selinux设置。
shang_feng_wei的博客
04-20 1万+
1、SELinux SELinuxLinux 内核提供的强制访问控制系统selinuxdisabledpermissiveenforcing 三种选择: Disabled :不启用控制系统permissive:开启控制系统,但是处于警告模式。即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。 Enforcing:开启控制系统,处于强制状态。一旦违反了策略,就无法继续...
Linux内核级加强型防火墙selinux的管理详解
weixin_44310047的博客
05-21 1996
Linux内核级加强型防火墙selinux的管理 一、SElinux的功能 SELinux 全称为安全增强式 Security-Enhanced LinuxSELinux),是 2.6 版本的 Linux 内核提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的。对于其功能,我们可以通过下面几个现象进行更深入的了解: 现象一: 1)当Selinux未开启: 安装vsftpd服务,编辑vsftp服务的配置文件,允许匿名用户访问,在/
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换
热门推荐
Tesi1a的充电桩
04-29 7万+
在Android的root相关的文章里经常会看到关于SElinux,Android4.3以后引进SElinuxSELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux 目前 SELinux 支持三种模式,分别如下: •enforcing:强制模式,代表 SELinux 运作,且已经正确的开始限制 domain/type 了; •perm
selinuxEnforcing, PermissiveDisable这三种模式的区别
weixin_40991510的博客
04-15 1万+
1、如果要马上拒绝运行SELinux: [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce Permissive 这条命令会把SELinux设定成Permissive模式,其setenforce 1会把SELinux设定成Enforcing模式 2.把SELinux永久设定为Permissive模式 这里需要讲一下P...
selinux
chaos_oper的博客
11-05 507
1.定义 selinux是内核级加强型火墙 2.selinux支持的三种模式 enforcing ##强制开启 会警告你也会拒绝你 permissive ##警告开启,会警告但不会拒绝 disabled ##关闭 3.切换模式 开启和关闭模式切换,需要重新启动 两种开启模式可以相互转换,不需要重启动 setenforce 0 ##警告 setenforce 1 ##警告并拒绝 4.s...
运行chrome时selinux提示avc拒绝解决方法
windyforest的专栏
10-27 1230
Chrome 15 Stable 版本发布了, 更新了下, 发现Fedora下Chrome 15依然没有解决与SELinux冲突的问题, 每次启动, 打开新标签页都会提示AVC拒绝, 下面是解决方法:     以root方式运行如下命令: semanage fcontext -a -s system_u -t usr_t /opt/google/chrome/chrome-sandb...
linux系统selinux
09-23
SELinuxLinux内核的一个模块,也是一个安全子系统。...其,`SELINUX=enforcing`表示SELinux被开启并且级别为强制,`SELINUX=permissive`表示SELinux被开启并且级别为警告,而`SELINUX=disabled`表示SELinux被关闭。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值