linux 下的selinux简介(安全上下文,selinux布尔值)

最新推荐文章于 2024-07-06 15:59:48 发布
最新推荐文章于 2024-07-06 15:59:48 发布
阅读量839 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44818720/article/details/89450623
版权
本文介绍了SELinux(安全增强型Linux)的基础知识,包括其作为额外安全机制的角色,以及如何通过安全上下文和布尔值来控制访问权限。SELinux有Disabled、Permissive和Enforcing三种状态,影响文件访问和服务限制。安全上下文用于限制文件访问,而bool值开关控制服务功能。通过getsebool和setsebool命令可以查看和修改布尔值,semanage工具用于修改文件和目录的安全上下文。当SELinux启用时,这些设置会影响系统的安全策略。
摘要由CSDN通过智能技术生成

1.SELinux简介

SELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制。
在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权。 SELINUX 的另一个不同之处在于 , 若要访问文件 ,
你必须具有普通访问权限和 SELINUX 访问权限。因此,即使以超级用户身份root 运行进程,根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 ) 标签。

getenforce

在这里插入图片描述
2)SELinux的三种状态

Disabled 代表 SELinux 被禁用

Permissive 代表仅记录安全警告但不阻止可疑行为

Enforcing 代表记录警告且阻止可疑行为
状态切换
在关闭(Disabled)与开启警告permissive、开启强制Enforcing之间进行切换。需要对配置文件:/etc/sysconfig/selinux 进行修改,后重新启动系统。

setenforce 0        ##临时更改SELinux的状态为警告不阻止 Permissive
setenforce 1        ##临时更改SELinux的状态为警告并且阻止 Enforcing

2、类型强制的安全上下文

安全上下文是一个简单的、一致的访问控制属性,主要体现在以下两点:
1 限制文件访问。文件必须拥有相匹配的安全上下文才能being识别访问。
2 对服务,限制认为不安全的服务功能, 设置开关。 开关默认关闭需要时可以打开。
ls -Z #检查文件、目录的安全上下文;
ps -Z #检查进程的安全上下文;
mv:安全上下文则不变;
cp:会重新生成安全上下文。

当selinux处于disabled时候,无安全上下文。文件以及服务的功能不会被限制。

[root@localhost ~]# touch /mnt/file1       #新建文件
[root@localhost ~]# mv /mnt/file1  /var/ftp/       #将其移动到公共家目录中
[root@localhost ~]# ls /var/ftp/
file1  pub
[root@localhost ~]# lftp 172.25.254.111     #使用匿名用户进行访问
lftp 172.25.254.204:~> ls            #可以看到所有存在的文件,没有安全上下文的限制
-rw-r--r--    1 0        0
最低0.47元/天 解锁文章
장위京城污湿
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
selinux
daizheng12345的博客
11-07 675
内核级加强型火墙selinux 一.selinux的功能 1.selinux对文件的影响——CONTEXT 安全上下文 会给每一个文件都加载一个标签,每一个程序也会有安全上下文,程序需要和文件相匹配,才能被读取,如果不匹配,在读取这个文件时,会被seliux拒绝。它管的是这个程序可以查看什么文件。 2.seliux对程序的影响——sebool 给程序功能加个开关sebool,sebool...
SELinux手册 电子书 pdf 英文
01-12
2. 安全上下文SELinux 使用安全上下文来标识进程和文件的安全级别和权限。 3. 策略语言:SELinux 使用策略语言来描述访问控制规则和策略。 SELinux 的优点包括: 1. 提高系统安全性:SELinux 通过强制访问控制...
linuxselinux参数,SElinux中重要的布尔值
weixin_29215391的博客
05-13 474
SElinux中重要的布尔值:为了设置方便,SELinux中内建了许多布尔值参数,我们可以通过setsebool修改这些参数而直接更改一些SElinux的设置,下面列出了常用的服务器boolean设置参数:1 DHCPD关闭SElinux对dhcpd服务器的保护。setsebool dhcpd_disable_trans 1关闭SElinux对dhcpc服务器的保护。setsebool dhcp...
RedHat运维-LinuxSELinux基础3-用布尔值调整SELinux政策
最新发布
a15735748145a的博客
07-06 320
16. 永久地将httpd_enable_homedirs这个布尔值SELinux政策的状态调整为on的命令是_________________________;17. 永久地将httpd_enable_homedirs这个布尔值SELinux政策的状态调整为on的命令是_________________________;18. 永久地将httpd_enable_homedirs这个布尔值SELinux政策的状态调整为on的命令是_________________________;
Linux——SELinux布尔值 解决SELinux问题
weixin_61895606的博客
03-24 403
SELinux布尔值 解决SELinux问题
Security基础(二):SELinux安全防护、加密与解密应用、扫描与抓包分析
weixin_30786657的博客
01-23 878
一、SELinux安全防护 目标: 本案例要求熟悉SELinux防护机制的开关及策略配置,完成以下任务: 将Linux服务器的SELinux设为enforcing强制模式 在SELinux启用状态下,调整策略打开vsftpd服务的匿名上传访问 从/root目录下移动一个包文件到FTP下载目录,调整策略使其能够被下载 步骤: 步骤一:将Linux服务器的...
查看SELinux状态&关闭SELinux
weixin_30399055的博客
08-02 557
1. 查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [root@l...
SELinux安全工具使用详解
10-21
**SELinuxSecurity-Enhanced Linux安全工具使用详解** SELinux,全称为安全增强型Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)机制,旨在提高Linux操作系统的安全性。它通过细粒度的权限...
SELINUX工作原理详解
09-14
例如,`booleans`文件可以用来查看和修改SELinux布尔值策略,这些策略控制着某些特定行为是否被允许。 **五、应用场景** SELinux通常应用于安全性要求较高的环境,例如政府机构、金融机构、云计算平台等。在...
操作系统安全:实验配置selinux策略(实验一).docx
06-02
6. **管理SELinux布尔值**: - `getsebool`用于查看和修改布尔值,这些值可以即时调整,无需重启或重载策略。 - 使用`getsebool -a`查看所有布尔值,通过管道过滤可以查找特定服务相关的布尔值。 通过这个实验,...
Linux: security: Selinux
mzhan017的博客
11-29 963
配置 /sys/fs/selinux/Disabled /etc/selinux/config is file controls the state of SELinux on the system. #SELINUX= can take one of these three values: #enforcing - SELinux security policy is enforced. #permissive - SELinux prints warnings instead of enforcing.
SELINUX状态
m0_70070438的博客
06-12 443
内核级的加强形火墙,内核上的插件,改变后要重启,是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。作用:最大限度地减少系统中服务进度可访问的资源enforcing:强制模式,违法规则的行为将被阻止并记录到日志中;执行中permissive:宽容模式:违法规则的行为只会记录到日志中,不执行但产生警告disabled:关闭查询SELinux当前policy详细信息:sestatus临时关闭SELinux: setenforce 0 关闭重启都会失效临时打开SELinux:
selinux 常用指令
袁瑞麟的专栏
01-06 1044
大多数 SELinux的设置都是布尔值-换句话说就是,通过设定 0 或 1 来使其关闭或激活。默认这些值存储在 /selinux/booleans 目录下。举一个简单的例子,user_ping,这个布尔值通常设置为 1,以允许用户使用ping命令。想要了解 SELinux 的详细信息,请浏览 www.nsa.gov/selinux/papers/policy/node1.html。在工作中如果你只
SELinux安全策略:布尔值策略
sda1_hacker的博客
05-14 468
有这么一个需求: 在selinux不关闭的情况下,为ip为192.168.80.128的主机搭建一个samba服务器。samba用户为space,密码为123456,为客户机提供一个名字为share的文件夹,这个文件夹在/之下名字为public。 samba可以用于linux和windows之间的文件共享,是由windows反向编译而产生的,因此samba有许多漏洞,所以selinux和samba...
SELinux-Booleans(布尔值)参数详解与案例演示
HJKHUKB的博客
12-09 567
selinux,getsebool,setsebool,semanage使用,举例,httpd服务的策略中的【httpd_enable_homedirs】,演示selinux布尔值使用
SELinuxSELinux的相关操作、安全上下文、bool值
Leslie_qlh的博客
08-02 518
SELinux 文章目录SELinux1.SELinux2.SElinux的相关操作注:在关闭状态和强制状态转换时需要进行系统重启3.安全上下文的影响4.SELinux的bool值的设定 1.SELinux SELinux是一种基于域-类型模型(domain-type)的强制访问控制(MAC)安全系统。Linux中每个文件有一个标签CONTEXT(安全上下文),一个文件的安全上下文和程序的安全上下...
SELinuxSecurity Enhanced Linux
一个搬运知识的笨小孩
03-15 360
1. SELinux初探 1.1 什么是SELinux SELinux是整合到内核的一个模块 SELinux是在进行进程、文件等详细权限设置时依据的一个内核模块 由于启动网络服务的也是进程,因此刚好也是控制网络服务能否读写系统资源的一道关卡 1.1.0 传统文件权限与账号的关系:自主访问控制(DAC,Discretionary Access Control) 使用DAC产生的结果,以Apache为例说明 1.1.1 以策略规则制定特定进程读取特定文件:强制访问控制(MAC,Mandatory Acces
SElinuxSecurity-Enhanced Linux
修电脑的码农
01-29 1406
SELinux是由美国国家安全局开发的,目的避免资源的误用。 传统的文件与账户的关系:自主式访问控制DAC(Discretionary Access Crontrol)基本上就是依据进程的拥有者与文件的-RWX权限决定有无存取的能力, 不过这种机制有几个问题不安全:     1.root用户拥有最高权限,如果某只进程被他人取得root的权限,那么这个进程就可以进行任何资源操作。
SELINUXSecurity-Enhanced Linux 安全增强型Linux)(Enforcing、Permissive、Disabled
jixuczy的博客
04-18 485
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
理解与管理SELinux安全上下文:文件与目录的关键
管理SELinux上下文的工具包括`chcon`和`restorecon`,它们可以用来临时或永久改变文件和目录的安全上下文。此外,`semanage`命令用于管理策略和布尔值布尔值可以开启或关闭特定的权限行为。 监控SELinux冲突是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值