SELinux角色的用途

最新推荐文章于 2022-09-04 10:57:22 发布
最新推荐文章于 2022-09-04 10:57:22 发布
阅读量2.3k 收藏 2
点赞数 1
分类专栏: SELinux 安全

我们知道进程的上下文定义了进程被允许的行为。作为进程域转换的部分,上下文可以被改变。这种访问控制被称为类型强制(type enforcement),但是SELinux不仅仅是这些,包含SELinux角色…

SELinux用户域

来查看下普通linux用户的上下文:

user $id
uid=1000(swift)gid=100(users) groups=100(users),16(cron),...,995(gorg)context=user_u:user_r:user_t

上下文显示用户在user_t域,再看下root用户的上下文:

root #id -Z
root:sysadm_r:sysadm_t

可以看到,显示root用户在sysadm_t域。

SELinux策略规定普通用户域(user_t)是无特权区:不允许执行任何管理任务。即使你给它授权为root的访问权限(sudo或者su),用户也不能危害到系统。它不仅仅因为user_t域,也因为那个用户所在的SELinux角色。

上下文中的角色

我们所见的上下文,角色在第二个字段:

user_u:user_r:user_t

正如你所见的,命名约定_r结尾。然而这只是约定,不是SELinux本身要求的。

SELinux角色规定什么域(进程)可以进去,这不是说用户可以自由选择下次可以启动的域(依然存在域转换来管理这个)。这样以来,即使允许被转换,如果域和他的用户角色没有关联,转换也会失败。

转换失败后的结果将会被作为SELinux错误而记录,比如:

invalid context: user_u:user_r:portage_t

明白这点十分重要,比如一个开发者从命令行试图启动mysql守护进程(不是以守护进程模式)。即使他被允许执行mysqld_exec_t标示的文件,转换后面也将不会被运行,因为mysqld_t不是被用户角色(user_r,staff_r,sysadm_r)所运行的域。

 

显示被允许的域

使用seinfo工具,可以罗列出一个特定角色被允许的域

user $seinfo-ruser_r -x
   user_r
      Dominated Roles:
         user_r
      Types:
         chromium_renderer_t
         user_gkeyringd_t
         ...

如果你试着启动一个程序(先不考虑服务),并且启动失败。接着确定是否是应用程序(比如mozilla_tchromium_t)的域不在当前所在角色支持的域中。

 

切换角色

用户如果愿意可以切换角色。然而,当SELinux用户被允许“成为”其他角色的前提下,我们才可以角色切换。使用semanage user –l 可以查看下是否是这样情形。

root #semanage user -l
SELinuxUser    SELinux Roles
 
root            staff_r sysadm_r
staff_u         staff_r sysadm_r
sysadm_u        sysadm_r
system_u        system_r
unconfined_u    unconfined_r
user_u          user_r

我们后面讨论SELinux用户,目前为止,可以说SELinux用户(上面例子第一列)必须匹配用户上下文的首个进入点(使用id -Z)。

user_u:user_r:user_t

所以上面上下文的例子,我们可以看到用户只能被允许在user_r角色。换句话说,这用户无法切换角色。

root:sysadm_r:sysadm_t

这个例子,用户可以从sysadm_r角色切换到staff_r角色(反之亦然)。

使用newrole –r <targetrole>切换角色,一般最普遍的是从staff_r角色切换到sysadm_r角色。

user $newrole -r sysadm_r
Password:

 

标准角色集合

以下表格给出了SELinux系统上可用的标准角色,可能在其他的系统存在更多的角色。

 

角色

描述

user_r

普通用户角色,只允许用户程序和其他非特权域

staff_r

类似于user_r角色,但是比起普通用户被允许获取更多的系统信息。这个角色用于允许用户切换到其他角色

sysadm_r

系统管理员角色,具有很高权限的角色,被允许最多的目标域,包括特权域。使用的时候需留意

system_r

系统角色,不要直接切换到它(因为它没有默认相关联的用户域-后面再讨论)

 

我们需要记住

1.        角色决定用户(或会话)被允许进入的域

2.        使用newrole来修改角色

3.        SELinux用户定义申明了用户可以进入的角色


链接  https://wiki.gentoo.org/wiki/SELinux/Tutorials/The_purpose_of_SELinux_roles

wjyph
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux 的基本介绍及用法
awoyaoc的博客
05-14 8326
SELinux 的基本介绍及用法安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。进行实验时首先 [root@localhost ~]# rm -rf /etc/vsftpd/ [root@localh...
selinux的使用
weixin_46097869的博客
02-25 264
selinux 1.selinux简介 SELinux: Secure Enhanced Linux, 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中。 在linux 中有两种...
SELinux策略语言--角色和用户
MyArrow的专栏
08-23 7059
1. 简介     SELinux提供了一种依赖于类型强制(TE)基于角色的访问控制(RBAC),角色用于组域类型和限制域类型与用户之间的关系,SELinux中的用户关联一个或多个角色,使用角色和用户,RBAC特性允许有效地定义和管理最终授予Linux用户的特权。     域类型用户
selinux能干什么?
qq_31093329的博客
08-15 375
原文:https://www.cnblogs.com/xiaoluo501395377/archive/2013/05/26/3100444.html 一、SELinux简介 SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。 SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中,因
selinux的主要作用
weixin_52626887的博客
09-04 3971
selinux的主要作用
device_qcom_sepolicy-legacy-um
02-10
3. **高通芯片与Android**:高通处理器在Android生态中的角色,以及如何针对高通硬件定制Android系统。 4. **Makefile**:学习Makefile语法,理解如何编写规则来编译和打包项目。 5. **Android系统构建**:了解...
kubernetes二进制部署.docx
11-29
首先,关闭Selinux以减少不必要的安全限制,可以通过修改`/etc/selinux/config`文件并将`SELINUX=enforcing`更改为`SELINUX=disabled`,然后执行`setenforce 0`来立即关闭Selinux。接着,调整文件描述符的限制,这有...
CentOS-7-x86-64-Minimal-2207-02.iso
最新发布
11-11
7. ** SELinux**:安全增强型Linux (SELinux) 是CentOS 7中默认启用的一项安全特性,用于强制执行严格的访问控制策略,增强系统的安全性。 8. **RPM包**:RPM(Red Hat Package Manager)是CentOS 7中用来安装、...
在Linux8.5环境下Oracle 21C单实例详细安装部署文档.pdf
02-20
规划包括确定硬件需求(如内存、CPU和磁盘空间)、网络配置(如IP地址和子网掩码)以及数据库服务的未来用途(如生产或开发)。根据规划,合理分配资源以满足数据库性能和稳定性要求。 4. **创建虚拟机** 使用...
注释和指南:我编写的注释和指南主要是从GFLClan.com导入的
02-17
eBPF与传统的BPF相比提供了更广泛的用途,并且在现代Linux系统中扮演着越来越重要的角色。 7. **Anycast**: Anycast是一种网络路由策略,其中同一个IP地址被多个地理位置分散的节点共享。当数据包发送到这个IP时...
Linux的SELinux功能
Junzizhiai的博客
11-07 263
一、什么是SELinux SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的 任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise L...
SELinux简介与主要作用
粗浅的入门功夫
06-27 4634
SELinux,Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统 Linux 操作系统的安全性,解决传统 Linux 系统中自主访问控制(DAC)系统中的各种权限问题(如 root 权限过高等)。 传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统中的安全增强功能模块,它通过对进程和文件资源采用 MAC(强制访问控制方式)为 Linux 系统提供了改进的安全性。 SELinux 的 MAC 并不
Linux权限、角色作用
weixin_30344795的博客
06-01 156
转载于:https://www.cnblogs.com/socketqiang/p/10959437.html
时间同步角色SELinux角色
QWQ45597316的博客
06-14 141
o
timesync角色,selinux角色应用
k2902314105的博客
06-14 334
1.首先先安装RHEL系统角色 2.timesync角色 创建一个date目录用来存放timesync角色 将ansible.cfg 配置文件和inventory主机配置文件也放到date目录中 用playbook执行main.yml 到受管主机上查看是否已经更改 开机自启也已经打开了 SELinux角色 selinux_play目录最终效果 SELinux角色实列 配置清单和ansible.cfg文件 查看受控主机selinux状态 执行palybook 查看受控主机............
SELinux的主要作用
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-07 699
我们知道,传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统中的安全增强功能模块,它通过对进程和文件资源采用 MAC(强制访问控制方式)为 Linux 系统提供了改进的安全性。 需要注意的是,SELinux 的 MAC 并不会完全取代 DAC,恰恰相反,对于 Linux 系统安全来说,它是一个额外的安全层,换句话说,当使用 S...
系统角色selinux角色结构与创建和使用方式
qq_58668102的博客
08-06 2728
系统角色的使用(selinuxSELinux用户域 来查看下普通linux用户的上下文 user $id uid=1000(swift)gid=100(users) groups=100(users),16(cron),...,995(gorg)context=user_u:user_r:user_t 上下文显示用户在user_t域,再看下root用户的上下文 root #id -Z root:sysadm_r:sysadm_t 可以看到,显示root用户在sysadm_t域。 SELinux策略
selinux 的介绍
Dream wedding
05-03 215
selinux 是linux上最杰出的新安全子系统。它是一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在它的任务中所需要的文件。selinux 通过增强访问控制来限制用户程序访问的最低权限。在Linux里面所有文件和进程都有一个security context的,而selinux就是通过security context 的作用来控制文件和进程的控制;security context...
linux selinux
L*YUE的博客
02-22 333
目录selinux介绍selinux功能selinux状态安全上下文 selinux介绍 selinux(security-enhanced linux):安全增强型linux,是一个内核级加强型火墙 selinux功能 1.当selinux开启会给系统中的每一个文件和每一个程序加载安全上下文,特定安全上下文的程序只能访问特定安全上下文的文件。 2.当selinux开启会对服务本身相对不安全的功能...
深入解析SEAndroid:SELinux在Android安全中的角色与应用
深入理解SELinux SEAndroid文档是一份关于Linux安全增强系统——SELinux的详细学习资料,特别关注其在Android移动平台SEAndroid的应用。SEAndroid是Google在Android 4.4引入的一项关键安全特性,它是SELinux在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值