SELinux深度解析:安全增强型Linux的探索与应用(下)

最新推荐文章于 2025-04-15 00:02:32 发布
最新推荐文章于 2025-04-15 00:02:32 发布
阅读量1.9k 收藏 15
点赞数 48
分类专栏: Linux :从菜鸟到飞鸟的逆袭 文章标签: linux 运维 服务器 centos 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53269650/article/details/139481806
版权

🐇明明跟你说过:个人主页

🏅个人专栏:《Linux :从菜鸟到飞鸟的逆袭》🏅

🔖行路有良友,便是天堂🔖

目录

一、SELinux的工作机制

1、SELinux的三种状态:Permissive、Enforcing、Disabled

2、类型强制(Type Enforcement) 

3、角色(Role)与层次(Level) 

4、安全上下文(Security Context) 

二、SELinux的配置与管理 

1、使用semanage和setools进行策略管理

2、使用sestatus、getenforce、setenforce查看SELinux状态

一、SELinux的工作机制

1、SELinux的三种状态:Permissive、Enforcing、Disabled

SELinux(Security-Enhanced Linux)是一个Linux内核模块和安全体系结构,它为Linux系统提供了强制访问控制(MAC)的机制。SELinux有三种状态,每种状态对应不同的安全策略执行方式:

1. Enforcing:

  • 在这种状态下,SELinux策略会被强制执行。这意味着所有不符合SELinux策略的访问尝试都会被拒绝并记录在日志中。系统会严格按照定义的安全策略进行访问控制,确保最高级别的安全性。
  • 例如,如果某个进程尝试访问一个它无权访问的文件,这种访问会被阻止,并且SELinux会在日志中记录这一事件。
  • Enforcing状态通常用于生产环境,以确保系统安全策略得到严格实施。


2. Permissive:

  • 在这种状态下,SELinux策略不会被强制执行,但任何违反策略的行为仍然会被记录在日志中。也就是说,系统会允许所有访问尝试,即使它们不符合SELinux策略。
  • Permissive状态通常用于开发和调试环境,因为它允许管理员查看哪些访问尝试会被SELinux策略阻止,而不会实际阻止这些访问。这对于调整和优化SELinux策略非常有用。
  • 例如,管理员可以在Permissive模式下运行系统一段时间,以收集日志中被记录的访问尝试,然后根据这些日志调整SELinux策略。


3. Disabled:

  • 在这种状态下,SELinux完全被禁用。系统不会应用任何SELinux策略,也不会记录任何SELinux相关的日志。
  • Disabled状态下,系统运行时没有SELinux提供的强制访问控制,这可能会降低系统的安全性。
  • 这种状态一般用于不需要或不支持SELinux的环境,或者用于排除与SELinux相关的问题。

2、类型强制(Type Enforcement) 

类型强制(Type Enforcement,简称TE)是SELinux实现强制访问控制(MAC)的一种核心机制。TE通过将系统中的每个对象和每个主体(进程)分配到不同的类型,并使用策略规则来定义哪些类型的主体可以访问哪些类型的对象以及如何访问它们,从而实现细粒度的访问控制。

核心概念


1. 类型(Type):

  • 每个文件、目录、设备、进程等对象和主体在SELinux中都有一个类型标签。类型标签用于标识对象和主体属于哪种类型。


2. 域(Domain):

    <
最低0.47元/天 解锁文章
SELinux深度解析安全增强型Linux探索应用(上)
博客虽小,世界尽在其中
06-05 2891
本文全面探讨了SELinux(Security-Enhanced Linux)的安全机制及其在现代操作系统中的应用SELinux作为Linux内核的一个安全模块,通过提供强制访问控制(MAC)策略,显著增强了系统的安全性。文章首先介绍了SELinux的基本概念,包括其工作原理、核心组件以及其他安全机制(如DAC)的区别。随后,深入分析了SELinux的策略语言(如SELinux Policy Language, SPL)和常见的策略类型(如targeted、minimum和mls),以及这些策略在实际系
LinuxSELinux
嚴 帅的博客
01-09 761
一、SELinux说明 SELinux是Security-Enhanced Linux的缩写,中文意思你是安全强化的linuxSELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用。 系统资源都是通过程序进行访问的,如果将/var/www/html/权限设置为777,代表所有程序均可对该目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以...
Security-Enhanced LinuxSELinux
weixin_30952103的博客
09-21 317
http://space.doit.com.cn/45811/viewspace-2096.html Security-EnhancedLinuxSELinux),这在linux2.6的内核中,是你不得不关注的对象。无论是文件系统还是网络接口,到处都能不经意的瞥到它幽灵般的身影。其钩子的实现方式严重的影响着对内核的正常阅读,为此,很有必要把这个幽灵就出来使之大白于天下。 ...
Selinux
最新发布
2301_81704123的博客
04-15 310
当setenforce 的值被设置为 0 时,表示将 selinux 的模式设置为 permissive。permissive:宽容模式,处于这种模式下,允许进程和文件拥有对应的用户、角色、类型等标签,但是在访问时不使用这些标签,即不使用相应的规则。diabled:禁用模式,处于这种模式下,所有的进程和文件都不会有对应的标签。enforce:默认模式,处于这种模式下, 所以有进程和文件都需要满足定义的规则后才可以进行访问。在开启selinux后,我们可以通过 sestatus 命令来查看当前的状态。
selinux实例:使用安全增强的linux,13.1.1.SELinux配置文件(/etc/selinux/config)
weixin_31099291的博客
05-14 305
13.1.1.SELinux配置文件(/etc/selinux/config)SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子:清单13-1./etc/selinux/config文件的内容1 # This file...
SELinux by Example Using Security Enhanced Linux
02-21
比较新的讲SELinux的入门书籍,包括MLS,是难得得覆盖面很全的书
Linux内核新特性深度解析:最新版本亮点应用
[Linux内核新特性深度解析:最新版本亮点应用](https://dz2cdn1.dzone.com/storage/temp/13170384-picture1.png) # 摘要 Linux内核作为开源操作系统的核心,其新版本的发布和特性更新一直受到广泛关注。本文首先...
SELinux安全模块深度剖析:如何通过安全上下文提升Linux安全
安全增强型LinuxSELinux)是Linux内核的一个安全模块,它提供了一套灵活且强制性的访问控制安全策略框架。SELinux的核心思想在于对系统中的进程进行最小权限限制,确保即使某个进程被攻破,攻击者也无法获得额外...
Linux文件系统安全深度解析:权限管理加密技术一览
Linux文件系统的概念结构 Linux文件系统是操作系统管理文件的逻辑结构,它定义了文件如何被存储、检索、以及组织的方式。Linux的文件系统具有层级性,这意味着它采用树状结构,从根目录“/”开始,延伸至多个子...
Linux SELinux】提升系统安全(一)
weixin_30326745的博客
01-16 126
本文重点:了解SELinux并能够熟练地启动关闭selinux(就像精通windows系统开关机一样) 背景:在centos5.x之后,selinux非常完备地成为了系统内核模块,centos5.x之后提供了很多命令行管理selinux 简介:selinux全称是Security Enhanced Linux安全提升版linux,协助管理进程文件间的访问权限 用户对文件的...
SELinux实例:使用安全增强的Linux
cnbird's blog
06-06 1899
http://www.51cto.com/art/200810/94193.htm
Linux安全增强技术,selinux 安全增强式Linux
weixin_34613462的博客
05-18 254
1. 上下文(以 apache 为例)1)服务器端安装 httpd[root@server ~]# yum -y install httpd[root@server ~]# systemctl start httpd[root@server ~]# systemctl enable httpd2)查看 httpd 默认目录的上下文[root@server ~]# ls -ldZ /var/www/...
selinux 安全增强式Linux
weixin_34390105的博客
09-14 149
2019独角兽企业重金招聘Python工程师标准>>> ...
selinux 安全上下文
weixin_33682790的博客
08-12 245
一:安全上下文原理安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),"域"和"域类型"意思都一样,即都是安全上下文中的“TYPE”。1 :DACMAC的关键区别(root用户) 安 全增强型Linux(SELinux)开始是由NSA(国家安全局)启动...
安全增强 LinuxSELinux)剖析
IBM技术期刊
06-04 839
简介公共网络(比如 Internet)充满着危险。只要将电脑连接到 Internet(即使只连接很短的时间),您就会感受到这一点。攻击者可以利用不安全性来获得对一个系统的访问,获得对信息的未授权访问,或者对一台计算机进行改造,以利用它发送垃圾邮件或攻击其他高端系统(使用 SYN 泛洪攻击,一种分布式拒绝服务攻击)。分布式拒绝服务攻击(DDoS)通过 Internet 上的多个系统来实现
Selinuxtype创建
无本之木
08-16 3415
In fedora the resources and files necessary for building new modular policies are in the devel directory under /usr/share/selinux/. This directory and all the files required for module development com
获取SELinux TYPE
linux/unix
11-19 2346
TYPE=`awk -F= '/^SELINUXTYPE/{ print $2 }' /etc/selinux/config`
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明明跟你说过

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值