Linux学习笔记--SELinux

最新推荐文章于 2024-05-06 21:22:04 发布
最新推荐文章于 2024-05-06 21:22:04 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: linux 文章标签: SELinx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44024162/article/details/90575939
版权

Selinux

SELinux(Security Enhanced Linux 安全增强Linux)是部署在Linux之上的安全增强功能模块。它提供了额外的安全功能,在RHEL 和 Fedora 中被设置为Enforcing模式。Ubuntu使用AppArmor,默认安全增强。

SELinux通过在主体和客体(也被称为进程和资源)上应用RBAC(Role Based Access Controls基于角色的访问控制)为Linux系统提供了改进的安全性。传统的Linux安全使用了DAC(Discretionary Access Controls 自主访问控制)
SEllinux 并没有完全取代DAC
SELinux使用时,DAC规则仍然被使用。
DAC规则首先被检查,如果允许访问,在检查SElinux策略
如果DAC规则拒绝,不检查SElinux策略

SELinux工作原理

可将SELinux比作一个门卫,相比之下,主体(用户)想要访问房间内的客体(文件)。为了获取对客体的访问权限,必须

1) 向主体出示身份证
2) 门卫审查身份证,并查看手册的访问规则
如果访问规则允许持有该特定身份证的人进入房间,则主体可以进入房间并访问客体。
如果访问规则不允许持有该特定身份的人进入房间,则主体被拒绝
SELinux 提供RBAC与TE(Type EnForcement类型强制访问控制)或MLS(Multi-Level Security 多级安全控制)的融合。在RBAC中,对某一客体的访问主要时基于主体被赋予的角色,而不是根据主体的用户名或进程ID。每一个角色都被赋予了访问权限。

TE(Type Enforcement 类型强制)

通过以下方式保护系统
1) 将客体标识为某些安全类型
2) 将主体分配给特定的域和角色
3) 提供相关规则,允许某些域和角色访问某些客体类型
ls -Z 显示DAC控制,还会显示SELinux安全RBAC控制
列子
ls -Z
-rw-r–r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html
1)unconfined_u 一个用户
2)object_r 一个角色
3)httpd_sys_content_t 一个类型
4)s0 一个级别
在SELinux访问控制中使用这四个RBAC项用户,角色,类型和级别来确定合适的访问级别,这些项被统称为SELinux安全上下文(security context),有时安全上下文又称“安全标签”
这些安全上下文被分配给主体(进程和用户)。每个安全上下文都有一个特定的名称
多层次安全
当使用SELinux时,默认策略类型被称为targeted,主要控制如何在Linux系统上访问网络服务(比如web服务和文件服务器)。Targeted策略对有效用户账号可以 在系统上完成的操作进行较少的限制。如果想要使用更多限制的策略,可以选择MLS(Multi-Level Security 多层次安全)。MLS使用了类型强制以及安全许可的附加功能。此外,它还提供了多类别安全(Multi-Category Security),为客体提供了分类级别。

实现SELinux安全模型

基于角色的访问控制模型,类型强制、多级别安全以及Bell-LaPadula模型都是非常有趣的主题,SELinux通过四个主要的SELinux部分实现了这些模型
运行模式
安全上下文
策略类型
策略规则包

SELinux运行模式

SELinux有Disabled、Permissive、Enforcing模式

Disabled模式

此模式下,SELinux被关闭。默认的访问控制方法(DAC)被使用。适用于不需要增强安全性的环境。
关闭SELinux
编辑配置文件 /etc/selinux/config 将SELINUX=disabled即可

Permissive模式

SELinux被启动,但安全策略规则并没有被强制执行。当安全策略规则应该拒绝访问时,访问仍然被允许,但会向日志文件系统发送一条消息,表示该访问应该被拒绝。
适用场景
审核当前的SELinux册罗规则应用到这些程序会有什么效果
测试新应用程序,看看将SELinux策略规则应用到这些程序时会有什么效果
测试新SELinux策略规则,看看将这些新规则应用到当前服务和程序上会有什么效果
解决某一特定服务或应用程序在SELinux下不再正常工作的故障

Enforcing模式

SELinuxbie 启用并强制执行所有的安全策略规则

理解SELinux安全上下文

SELinux安全上下文是一种用来分类客体(如文件)和主体(如用户)的方法。所定义的安全上下文允许SELinux 对访问客体的主体强制执行策略规则。安全上下文由四个属性组成:user、role、type、level。
User :是Linux用户名与SELinux名称的映射。它与用户的登陆名称并不相同,别用来特指SELinux用户。SELinux用户以一个字母u结尾,使其在输出中更容易被识别。在默认的targeted策略中,普通的无限制用户都有user属性unconfined_u。
Role :企业、组织中指定的角色名称与SELinux角色名称相映射。Role属性被分配给不同的主体和客体。系统会根据角色的安全许可以及客体的分类级别授予每个角色对其他主体和客体的访问。更具体地说,对于SELinux来说,用户被分配了相应的角色,而这些角色被授权对特定类型的域进行访问。通过使用角色,可以迫使账户拥有较少的特权。SELinux角色名称都以一个r结尾。在targeted的SELinux系统中,被root用户运行的进程拥有system_r角色,而普通用户运行的进程则拥有unconfined_r角色。
Type :该属性定义了进程的域类型、用户类型以及文件类型。因此该属性也被称为安全类型。大多数策略规则都会关注进程的安全类型以及进程所访问的文件、端口、设备记忆其他元素。SELinux类型名称以一个t结尾。
Level :level是MLS的属性,强制执行Bell-LaPadula模型。在TE中,该属性是可选的,但是如果使用MLS,则是必须的。MLS级别是灵敏度和类别值的组合,共同形成了安全级别。一个级别可以写为sensitivity:category。
Sensitivity
表示客体的安全或灵敏级别,比如机密或绝密
是带有s0(未分类)的层次结构,通常是最低级别的
如果级别不同,则作为一对灵敏级别(lowlevel_highlevel)列出
如果没有高或者低级别,则作为一个单一灵敏级别s0列出。然而,在某些情况下,即使灭有高或者低级别,也会显示一个范围s0-s0)
Category
表示客体的分类,比如No Clearance、Top Clearance等
通常该值介于c0和c255之间
如果级别不同,则作为一对类级别(lowlevel-highlevel)列出
如果没有高和低级别,则作为一个单一类别级别列出。
用户拥有安全上下文
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
user-linux用户root被映射到SELinux用户unconfined_u
role-SELinux用户unconfined_u被映射到角色unconfined_r
type-用户被赋予类型 unconfined_t
level-
sensitivity—用户仅仅拥有一个敏感级别,s0
categories—用户可以访问c0.c1023,即所有类别(c0-c1023)
文件拥有安全级别
使用 ls -Z
-rw-r–r--. root root unconfined_u:object_r:admin_home_t:s0 x
user-文件映射到SELinux用户unconfined_u
role-文件映射到角色object_r
type-用户被赋予类型 admin_home_t
level-
sensitivity—用户仅拥有一个敏感级别,s0
categories—MSC未设置此文件
进程拥有安全上下文
使用ps -eZ | grep bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3941 pts/0 00:00:00 bash
user-进程被映射到SELinux用户unconfined_u
role-进程被映射到角色unconfined_r
type-进程被赋予类型 unconfined_t
level-
sensitivity—用户仅仅拥有一个敏感级别,s0
categories—用户可以访问c0.c1023,即所有类别(c0-c1023)

SELinux策略类型

策略类型确定了使用那些策略规则组来指定主体可以访问的客体,还指定了需要那些特定的安全上下文属性。通过策略类型,可以更精细地了解SELinux所实现的访问控制。Targeted、MLS、Minimum。

Targeted策略

Targeted策略的主要目的是限制“有针对性的”守护进程,然而,它还可以限制其他进程和用户。有针对性的守护进程都被嵌入沙盒,沙盒是一种环境,在该环境中,程序可以运行。但对其他客体的访问则被严格控制。
有针对性的守护进程被严格限制,以便通过该进程所引发的恶意攻击不会影响到其他服务或者Linux系统。通过使用有针对性的守护进程,可以更加安全地共享打印服务,文件服务,web服务等,同时降低因为访问这些服务而对系统中其他资产的风险。
所有没有针对性的主体和客体都运行在unconfined_t域中。unconfirned_t域没有SELinux策略限制,因此只能用传统的linux安全。

MLS策略

MLS(Multi-Level Security)策略的主要目的是强行执行Bell-LaPadula模型。它根据角色的安全许可和客体的分类级别授予对其他主体和客体的访问。

Minimum限制

该策略最初是针对计算机或者设备(如智能机)而创建的。
他与targeted策略是相同的,但它仅使用基本的策略规则包,这种裸骨策略可以被用来在一个指定的守护进程中测试SElinux的影响。对于低内存设备来说,Minimum策略允许SELinux在不消耗过多资源的情况下运行。

赫尔曼黑塞
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux整理笔记
liguangxianbin的博客
05-25 5161
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
SELinux详解之第二章——MLS/MCS
星留影的刹那间
05-21 4826
基本介绍 MLS&MCS(Multi-Level Security and Multi-Category Security)多层安全技术是指强制实施Bell-La Padula强制访问模型安全方案。在MLS下,用户和进程称为Subject(主体),文件、设备和系统的其他组件称为Object(对象)。主体和对象都标有安全级别,每个安全级别都由一个敏感度和一个类别组成。在SELinux的情况下,一个进程(以“机密”级别运行)可以按当前级别进行读/写,但只能读取低级别的文件,或者写更高级别的文件(在被许
安全利器SELinux快速入门系列 01】SELinux基础入门_selinux
kenzsoft的博客
05-06 937
进程的主体是进程,客体是被访问的资源。MAC机制的特点在于,资源的拥有者,并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。4MAC强制访问控制的流程大致是上图所示,分为3个步骤主体程序必须要通过 SELinux 政策内的规则放行后,就可以与目标资源进行安全性本文的比对;若比对失败则无法存取目标,若比对成功则可以开始存取目标。最终能否存取目标还是与文件系统的 rwx 权限设置有关。
Linux集群教程】13 集群安全防御 - SELinux 功能
Dragon的博客
10-21 1016
SELinux 是一套基于令牌的访问控制。SELinux 中的主体要想访问客体,必须要使用令牌,令牌匹配成功时候才能允许访问,而令牌匹配不成功那么就不允许访问。在 SELinux 中令牌,是叫做安全上下文。所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。在SELinux中, 访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等,资源)和主体(进程,要求资源)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户、角色和类型标识符。
SELinux策略语言--编写TE规则
u014674293的博客
08-02 665
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法
ldswfun的专栏
06-01 2435
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件中有非常多的语句, 我们需要基本掌握和理解其中的语法和语义,这样才能有利于我们进行开发。上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。Te文件中一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件中
Linux操作系统-读书笔记
07-08
这篇读书笔记将基于《鸟哥的Linux私房菜》、《Linux内核的设计与实现》、《深入理解Linux内核》以及《深入Linux内核架构》等经典书籍,深入探讨Linux系统的核心概念和技术。 1. **系统架构** Linux采用微内核架构...
selinux 学习笔记,帮助学习seLinux 使用
11-08
SELinux 学习笔记SELinux,全称 Security-Enhanced Linux,是 Linux 操作系统中的一个强制访问控制(Mandatory Access Control, MAC)框架,旨在提高系统的安全性,防止恶意攻击者通过权限提升和权限滥用来...
Linux实践工程师学习笔记.docx
11-20
这篇文档是关于Linux实践工程师的学习笔记,主要包括了用户环境配置、硬件检测、系统服务管理以及一些常用系统管理命令。下面将详细阐述这些知识点。 1. **用户环境**: - `locale` 命令用于查看当前系统的语言...
Linux内核笔记-很强大很详细的
09-08
Linux内核是操作系统的核心部分,负责管理系统的硬件资源,...通过深入学习,可以提升对Linux操作系统的理解和操作能力,尤其对于在ARM架构下工作的人来说,了解Linux内核的细节将有助于优化系统性能和解决实际问题。
linux命令之用户与用户组
weixin_40645193的博客
09-06 555
1.1用户与组的概念 1.理解Linux多用户、多任务的特性 不同用户具有不同的权限,每个用户在权限允许的范围内完成不同的任务, Linux正是通过这种权限的划分与管理,实现了多用户多任务的运行机制。 2.Linux下用户的角色分类 在Linux下用户是根据角色定义的,具体分为三种角色 每个用户都有一个UID,并且是唯一的,通常UID号的取值范围是0~65535, a.管理员(超级用户):拥有对系统的最高管理权限 ,默认是root用户【0】 b.系统用户(虚拟用户): 也叫“伪”用户,这类用户最大特点是不能
增加SELinux TE 规则方法
苟浩的博客
03-01 1219
增加SELinux TE 规则方法 执行semanage dontaudit off。因为有时审计日志打印的不全。 判断是不是因为selinux权限导致的问题。打开selinux,命令无法执行;关闭selinux,命令可以执行,则可以确定是selinux的问题。 执行setenforce 0,关闭selinux。 tail -f /var/log/audit/audit.log,再执行相应的命令。这样可以只获取在这个命令执行期间出现的AVC日志,在加权限的时候要保证最小权限。 将第4步中
selinux介绍
成功不必在我,而功力必不唐捐!
08-23 586
selinux相关命令 // 0--代表Permissive // 1--代表Enforcing setenforce 0 // 查看selinux开关状态 getenforce // 查看进程的sContext ps -Z // 查看文件权限 ls -Z 如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题 抓取SELinux Log adb shell dmesg 抓kernel log,使用命令: adb shell "cat /
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
SELinux
践踏记忆的博客
12-22 272
一、简介 SELinuxSecurity-Enhanced Linux的缩写,意思是安全强化的linuxSELinux 主要由美国国家安全局(NSA)开发 传统的文件权限与账号的关系:自主访问控制,DAC(Discretionary Access Control) 当某个进程想要对文件进行访问时,系统就会根据该进程的所有者/用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。各种权...
安全利器SELinux快速入门系列 | 02】SELinux 策略实施的可视化操作指南
机器未来的博客
08-02 1887
编者按:博主借助翻译工具翻译了这篇文章,非常形象地描述了SELINUX的三种策略类型:targeted(TE Enforcement)、mcs、mls。 三种策略的安全级别依次增强,TE, MCS, MLSMLS最高,每种安全策略都是在上一种安全策略的基础上叠加信的安全策略。 >在TE的基础上,针对多个同样的进程,通过在启动进程时在进程和文件对象增加多类别标签MCS,实现权限隔离。 在MCS标签完全匹配的情况下,MLS增加了多级别标签sx(x=0,1,2,...),实现绝密>秘密->...,多级别的访..
SELinux系列(十)——SELinux Targeted、MLS和Minimum策略
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
10-24 1094
目录 Selinux策略简介 Target 策略 MLS 策略 Minimum 策略 Selinux策略简介 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型还决定需要哪些特定的安全上下文属性。通过策略类型,读者可以更精确地了解 SELinux 所实现的访问控制。 SELinux 提供 3 种不同的策略可供选择,分别是 Targeted、MLS 以及 MiNimum。每个策略分别实现了可满足不同需求的访问
linux怎么看文件安全上下文,SELinux设置
weixin_30689519的博客
04-28 287
三种策略targeted:针对网络服务较多,本机设置较少minimum:针对targeted来自定义保护对象mls:完整的规则查看selinux安全上下文[Awei@localhost ~]$ ls -Z-rw-rw-r--. Awei Awei unconfined_u:object_r:user_home_t:s0 regular_express.txtdrwxrwxr-x. Awei Awe...
Selinux和Firewalled
向阳-Y.的博客
09-21 433
Selinux SElinux配置文件:/etc/sysconfig/selinux SElinux工作类型: targeted:用来保护常见的网络服务,仅有限进程受到selinux控制,默认类型 minimum:targeted的修改版,只对选择的网络服务,仅对选中的进程生效 mls:提供mls机制的安全性,国防级别的 SELinux工作模式: enforcing: 强制模式,拦截并记录非法访问 permissive: 宽容模式,只记录不阻止 disabled: 禁用SElinux setenforc
ntainer-selinux-2.9
最新发布
05-30
ntainer-selinux-2.9是一个与Docker容器相关的安全性强制访问控制策略,目的是为了对Docker容器提供更强的安全性保护。你可以按照以下步骤安装并使用它: 1.首先,更新你的yum包: ```shell sudo yum update ``` 2.然后,安装ntainer-selinux-2.9: ```shell sudo yum install ntainer-selinux-2.9 ``` 3.启用ntainer-selinux-2.9: ```shell sudo setsebool -P container_manage_cgroup true ``` 4.重启Docker服务: ```shell sudo systemctl restart docker.service ``` 5.使用Docker容器时,需要确认你的容器使用了ntainer-selinux-2.9。你可以使用以下命令来验证: ```shell sudo docker run --rm -it --security-opt label:type:container-selinux busybox sh ``` 6.最后,你可以开始使用Docker容器以及ntainer-selinux-2.9提供的强大保护了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值