Linux之SELinux-安全上下文

最新推荐文章于 2024-04-09 16:00:00 发布
最新推荐文章于 2024-04-09 16:00:00 发布
阅读量6.5k 收藏 36
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42741132/article/details/82533665
版权

目录

SELinux介绍

五个安全元素

启用SELinux

管理文件安全标签

管理端口标签

管理SELinux布尔值开关

设置SELinux管理日志

查看SELinux帮助

 *******温馨提示:小编认为文中的理论知识点也很重要,请热爱学习的你们也同样耐心阅读完********

SELinux介绍

SELinux:Secure Enhanced Linux,是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Courporation)开发的LInux的一个强制控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后继承在内核中。

访问控制类别:

DAC:Discretionary Access Control 自由访问控制

MAC:Mandatory Access Control 强制访问控制

 

DAC和MAC的特点:

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限定的

策略被用来定义被限定的进程能够使用那些资源(文件和端口)

默认情况下,没有被明确允许的行为将被拒绝

 

SElinux安全上下文工作类型:有四种工作类型

  1. strict:centos5,每个进程都受到selinux的控制
  2. targeted:用来保护常见的网络服务,仅有限进程受到 selinux控制,只监控容易被入侵的进程,rhel4只保护13个服务,rhel5保护88个服务
  3. minimum:centos7,修改过的targeted,只对选择的网络服务。
  4. mls:提供MLS(多级安全)机制的安全性

targeted为默认类型,minimum和mls稳定信不足,未加以应用,strict已不再使用

 

为什么会用SElinux

传统的 Linux中一切皆文件,由用户、组、权限控制访问。而在SELinux中一切皆对象(object),由存放在inde表的扩展属性域的安全元素所控制其访问。

安全上下文基本格式说明

安全上下文有五个元素组成:
user:role:type:sensitivity:category
user_u:object_r:tmp_t:s0:c0

实际上下文存放在文件系统中,进程、文件、已经用户等都有相应的安全上下文:

期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中  (semanage fcontext –l)
例子:

#查看指定文件的安全上下文
ls  -Z

技术分享

#查看进程的安全上下文件
ps  Z

技术分享

#查看用户安全上下文

技术分享

期望(默认)上下文:

存放在二进制的SELinux策略库(映射目录和期望安全上下文)中:

使用命令

semanage  fcontext  -l   #
可以查看所有默认策略

五个安全元素

  1. User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由( unconfined)进程
  2. Role:定义文件,进程和用户的用途:文件:object_r,进程和用户: system_r
  3. Type:指定数据类型,规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用: public_content_t
  4. Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级, s0最低,Target策略默认使用s0
  5. Category:对于特定组织划分不分层的分类,如FBI Secret, NSA secret, 一个对象可以有多个categroy, c0-c1023共1024个分类, Target 策略不使用category

 

SELinux策略:

对象(object):所有可以读取的对象,包括文件、目录和进程,端口等

主体:进程称为主体(subject)

SELinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义。

当一个subject试图访问一个object,Kernel中的策略执行服务器将检查AVC(访问矢量缓存Access Vector Cache),在AVC中,subject和object的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果运行或拒绝访问。

安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一项对象是允许还是拒绝的,并且定义了那种行为是运行或拒绝。

启用SELinux

配置SELinux:

  • SELinux是否启用
  • 给文件重新打安全标签
  • 给端口设置安全标签
  • 设定某些操作的布尔型开关
  • SELinux的日志管理

SELinux的状态:

  1. enforcing: 强制,每个受限的进程都必然受限
  2. permissive: 允许,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
  3. disabled: 禁用

配置SELinux—SELinux是否启用

设置SELinux模式及开关使用命令有3个:getenforce ;status ;setenforce

getenforce:#获取selinux的当前状态 

[root@centos7-->14:47:57~]#getenforce 
Disabled                                    ##当前系统的selinux状态为关闭

sestatus:  #查看selinux完整状态

[root@centos7-->14:51:35~]#sestatus
SELinux status:                 enabled            ##当前状态
SELinuxfs mount:                /sys/fs/selinux    
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31

setenforce  0|1#开启或关闭

[root@centos7-->14:51:59~]#setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

0:设置为permissive

1:设置为enforcing

注意:如果当前系统的SElinux状态为Disabled时,使用setenforce  0或者1切换时,要想生效,必须reboot重启系统。

如果是enforcing状态和permissive切换时不需要重启系统。 

修改配置文件:

                   /boot/grub/grub.conf在对应的kernel内核参数后面追加    (centos  6中)

                   selinux=1 (启用)   selinux=0(禁用)                           

                   /etc/sysconfig/selinux

                   /etc/selinux/config                                                              (centso 7  中)

                   SELINUX变量有3中参数:

                   SELINUX={disabled|enforcing|permissive}

管理文件安全标签

修改文件的SELinux标签的命令:chcon ;restorecon

chcon 命令

 chcon - change file SELinux security context

 更改文件的selinux安全上下文件

###更改文件标签之前文件的selinux类型为   :admin_home_t:
[root@centos7-->17:00:34~]#ll -Z text.txt 
-rw-------. root root unconfined_u:object_r:admin_home_t:s0 text.txt

选项与用法:

chcon [option]...  CONTXT  /path/to/file...  #直接对指定的文件写完整的安全上下文字段

chcon [option]...  [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...  #根据上下文类型更改

chcon [option]...  --reference=RFILE  FILE....  #参考RFILE的上下文修改FILE的上下文

-R :如果是目录,将同时递归设置该目录下所有文件

##更改后文件text.txt的selinux标签
[root@centos7-->15:32:56~]#chcon -t var_log_t text.txt 
[root@centos7-->15:33:10~]#ll -Z text.txt                
-rw-r--r--. root root unconfined_u:object_r:var_log_t:s0 text.txt

SELinux规则管理工具命令:semanage

semanage - SELinux Policy Management tool

semange 命令  注:此命令来自policycoreutils-python  RPM包

默认安全文件规则的查询和修改:semanage  

semanage  命令

semanage fcontext [-S store] -{a|d|m|l|n|D} [-frstN] file_spec

用法与实例:

查询信息

#查看默认所有安全上下文列表
semanage fcontext  -l
#添加安全上下文
semanage fcontext -a -t httpd_sys_content_t ‘/testdir(/.*)?’
#删除安全上下文
semanage fcontext -d -t httpd_sys_content_t ‘/testdir(/,*)?’

管理端口标签

端口标签的设置

#查询端口标签
semanage port -l

#添加端口

semanage port -a -t port_label -p tcp|udp PORT 例如:

semanage port -a -t http_port_t -p tcp 9527

#删除端口

semanage port -d -t port_label -p tcp|udp PORT 例如:

semanage port -d -t http_port -t -p tcp 9527

#修改现有端口为新标签

semanage port -m -t port_label -p tcp|udp PORT 例如:

semanage port -m -t http_port_t -p tcp 9527

管理SELinux布尔值开关

布尔值规则命令:getsebool  setsebool

SELinux布尔值设置

查看bool命令:

getsebool  -a

[root@centos7-->15:53:18~]#getsebool  -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off

semanage boolean  -l

##查看更为详细的布尔值
[root@centos7-->15:54:36~]#semanage boolean -l
SELinux boolean                State  Default Description

privoxy_connect_any            (on   ,   on)  Determine whether privoxy can connect to all tcp ports.
smartmon_3ware                 (off  ,  off)  Determine whether smartmon can support devices on 3ware controllers.
mpd_enable_homedirs            (off  ,  off)  Determine whether mpd can traverse user home directories.
xdm_sysadm_login               (off  ,  off)  Allow the graphical

semanage boolean  -l  -C  #查看修改过的布尔值

设置bool值命令:

setsebool  -P value (on,off)

#修改samba_enable_home_dirs 的布尔值为  on  开启状态
[root@centos7-->15:57:58~]#setsebool -P samba_enable_home_dirs on

setsebool [-P] Boolean=value (0,1)

设置SELinux管理日志

SELinux日志管理:setrublesshhoot 命令

yum  install  setrublesshooot*  (重启后生效)

setrub会将错误信息写入/var/log/message,使用下面方式查看:

grep  ‘setroubleshoot’  /var/log/messages

sealert  -l  UUID

查看安全时间日志说明

sealert  -a  /var/log/audit/audit.log

扫描并分析日志

查看SELinux帮助

获取SELinux的相关帮助信息

yum -y install selinux-policy-devel  #centos7下

yum -y install selinux-policy-doc   #centos6下

mandb | makewhatis  #更新man文档数据库

man  -k  _selinux   #列出selinux关键字相关文档

 

myjack8897
关注
  • 4
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 1861
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件目录安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件目录安全上下文 -rw-------.root root system_.
SELinux简介
m0_71897505的博客
04-10 1065
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统(采用MAC机制)。 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。 自主访问控制(Discretionary Access Control,DAC)由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。 强制访问控制(mandatory ac
SeLinux安全上下文文件
littleyards的博客
04-01 616
在Android中,常见的安全上下文文件有file_contexts、genfs_contexts、service_contexts、mac_permissions.xml和seapp_contexts。seapp_contexts,app的安全上下文,用于描述apk 安装之后的目录文件和/data/data 目录分配标签。根系统中所有文件安全上下文, 如/system/bin, /system/etc 等文件。系统binder服务的安全上下文,在启动过程中,servermanger会读取该配置。
基于Linuxselinux安全上下文、布尔值、监控冲突的管理及服务端口的设定
yifan850399167的博客
05-16 1786
一、SELINUX   1.基本 SELINUX 安全性概念 SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制, 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 ,你...
安全上下文的认识
ZGGHUAN
05-16 4766
一、临时修改安全上下文在/mnt下建立一个文件,并将它移动到ftp目录下,在我们登陆时lftp时,没有westos文件在/var/ftp下建立一个文件
6.6.6、查看 SELinux 安全上下文
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 1667
SELinux 管理过程中,进程是否可以正确地访问文件资源取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签(比如 SELinux 用户、角色、类型、类别等),当运行 SELinux 后所有这些信息都将作为访问控制的依据。
linux selinux --安全上下文
weixin_34342992的博客
04-18 197
SELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全。 DAC 自主访问控制:用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,grou...
container-selinux-2.9-4.el7.noarch.rpm.zip
02-27
`container-selinux`这个包就是专门为Docker容器提供SELinux上下文和策略的,它定义了容器如何与主机系统交互的安全规则。 **Docker CE(Community Edition)** 是Docker的社区版,它是免费且开源的,包含了开发...
Linuxselinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。...当开启selinux后,selinux会给每个文件加载标签context,安全上下文必须配对,否则文件不能访问 测
selinux实现为linux安全模块报告
12-28
- **上下文(Context)**: 每个Linux对象(如文件、进程、网络套接字等)都有一个SELinux上下文,包含用户、角色、类型和等级等信息,定义了对象的安全属性。 - **策略(Policy)**: 定义了系统中不同对象之间的...
container-selinux-2.9-4.el7.noarch.zip
02-20
在Docker场景下,SELinux可以为每个容器提供独立的命名空间和安全上下文,防止容器间的越权访问,增加系统的安全性。 container-selinux的主要作用是定义了Docker容器内的安全策略,如允许哪些操作、限制哪些进程间...
selinux-example_SELinux_
09-28
1. **类型 Enforcement(TE)模型**:这是SELinux的基础,将系统资源(如文件、网络套接字等)和进程分为不同的安全上下文(security context),每个上下文都有特定的类型和级别。 2. **策略(Policy)**:定义了...
linux怎么看文件安全上下文,Linux安全控制访问模块之SElinux
weixin_31271165的博客
04-28 886
SElinux1、Selinux介绍:Linux的一个强制访问控制安全模块,2000年以GNU GPL发布,Linux内核2.6版本集成在内核中。DAC:自由访问控制,进程是无束缚的。MAC:强制访问控制,策略的规则决定控制的严格程度(策略被用来定义被限制的进程能够使用那些资源[文件和端口]);进程的可以被限制的;默认情况下,没有允许的行为将被拒绝。2、Selinux的四种工作类型:(1)star...
SElinux安全上下文
m0_48963021的博客
02-23 208
SElinux安全增强型Linux系统,是一个linux内核模块、一个安全子系统。:就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)
SELinux配置和更改安全上下文
热门推荐
04-23 1万+
配置SELinux 我们已经在Selinux的由来和安全上下文中了解到SELinux的基本概念。 我们知道SELinux会对进程和文件进行权限控制,而让阻止某些进程访问不该访问的文件。 实际上,在真实场景中,虽然SELinux为默认的内核模块,然而实际上,我们还是可以控制其开启和执行。 首先,让我们查看默认的当前的SELinux配置: $ cat /etc/sysconfig/selinux...
selinux基本概念 | 开启selinux策略 | 安全上下文的临时修改 | 安全上下文的永久修改 | 如何修复selinux | selinux对服务功能的影响 | 系统自动排错
Minz
05-11 2342
一,Security-Enhanced  LinuxSELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制,在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限标签(控制哪些用户对哪些文件具有哪些访问权,SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 ...
Linux_SElinux 安全上下文的理解
Ff12123的博客
05-15 5403
selinux 安全上下文是一个访问控制属性。在SELinux中,类型标识符是安全上下文中决定访问的主要的部分。 为了简便,这里我就使用一台机器既作客户端又作服务端来进行实验 1. getenforce #查看他的selinux是否为强制状态 2. touch /mnt/file1 #在mnt下创建file1 文件 因为mnt的安全上下文为mnt_t 3. mv /mnt/fi...
Linuxselinux安全上下文
Ying_smile的博客
10-13 528
查看selinux安全上下文:ls -Z [root@localhost ~]# touch /var/ftp/hellohello 新建文件测试 [root@localhost ~]# ls /var/ftp/ 查看目录ftp中的内容 hellohello pub [root@localhost ~]# touch /mnt/haha1 [root@localhost ~]# mv /mnt/haha1 /var/ftp/haha1 #复制是新建的过程,移动是重命名的过程,文件系统权限和属性不会改
Arcmap天地图历史影像插件全国版-免费!免费!
最新发布
07-22
2024版“天地图”首次开放多时相影像专题,公众可查看32个省级天地图节点近半个世纪的历史影像;本arcmap插件集成了全国天地图历史影像接口,累计上千期。 免费使用。不收费!!不收费!!不收费!!
Selinux安全上下文详解
06-10
SELinux(Security Enhanced Linux)是一种强制访问控制(MAC)的实现,它可以限制进程对系统资源的访问。在SELinux中,每个进程和文件都有一个安全上下文(Security Context),它是由三部分组成的:user、role和type,分别代表用户、角色和类型。 1. User User代表了进程或文件所属的用户,它是一个字符串,通常是一个数字。在Linux系统中,每个用户都有一个唯一的UID(User ID),SELinux使用UID来标识用户。 2. Role Role代表了进程或文件所属的角色,它也是一个字符串。在SELinux中,角色用于区分不同的进程或文件,以及它们对系统资源的访问权限。例如,Web服务器进程可能有一个webserver角色,而数据库服务器进程可能有一个database角色。 3. Type Type代表了进程或文件的类型,它是一个字符串。在SELinux中,类型用于定义进程或文件可以访问的系统资源。例如,Web服务器进程可能有一个httpd_t类型,而数据库服务器进程可能有一个mysqld_t类型。 SELinux安全上下文可以通过命令行工具semanage和chcon来设置和修改。例如,可以使用如下命令将一个文件安全上下文修改为httpd_sys_content_t类型: ``` chcon -t httpd_sys_content_t myfile.html ``` 总之,SELinux安全上下文提供了一种强制访问控制的机制,它可以限制进程和文件对系统资源的访问,从而提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值