SELinux MAC安全机制简介

最新推荐文章于 2024-08-05 13:39:50 发布
最新推荐文章于 2024-08-05 13:39:50 发布
阅读量2.9k 收藏 3
点赞数 1
分类专栏: Linux 文章标签: SELinux MAC 安全机制 安全上下文 政策
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxc024000/article/details/88389657
版权

SELinux MAC安全机制

SELinux MAC

  • Security Enhanced Linux(SELinux),使用Mandatory Access Control(MAC)方式对权限进行管控。
  • MAC强制访问控制,针对特定的程序与特定的文件资源进行权限管理。
  • MAC采用政策(Policy)\规则(Rule)、安全上下文,主体对目标的访问,需要满足政策、安全上下文,才可以访问。

SElinux运行机制

  • 主体(Subject):等同于进程。
  • 目标/对象(Object):被主体访问的资源,如文件、设备、端口等等。
  • 政策和规则(Policy & Rule):SElinux定制的基本的安全管制政策,Ubuntu16.04中有三套政策
# SELINUXTYPE字段
/etc/selinux/config  

# 等同于targeted,对大部分网络服务进程进行管制。常用。
default 
# 多级安全保护,对所有进程进行管制,不常用。
mls 
# 自定义
src
  • 工作模式:/etc/selinux/config SELINUX字段
# 强制模式, SELinux security policy is enforced.
enforcing
# 宽容模式,SELinux prints warnings instead of enforcing.
permissive
# 关闭SElinux。
disable
  • 安全上下文(security context): 主体对客体的访问,除了政策/规则外,相互之间的安全上下文必须相符。
    在这里插入图片描述

安全上下文(Security Context)

  • 安全上下文存在于主体和目标中,可以通过 ls -Z查看客体安全上下文,通过ps -Z查看主体安全上下文。
ls -Z
# 安全上下文为 system_u:object_r:file_t:s0
system_u:object_r:file_t:s0 file.txt

ps -Z
LABEL                             PID TTY          TIME CMD
system_u:system_r:kernel_t:s0    4185 pts/0    00:00:00 bash
system_u:system_r:kernel_t:s0    5357 pts/0    00:00:00 ps

安全上下文由4个部分组成:

  • 身份标识(user):角色(role):类型(type) : 级别(level)

  • 身份标识(User):
    system_u 系统服务进程/系统服务创建的文件
    unconfined_u 不受管制进程/文件

  • 角色(Role):
    object_r文件资源
    system_r系统服务进程

  • 类型(Type):
    默认targeted中,主要对安全上下文的类型进行匹配。
    对于主体,它的类型称为domain,域。
    对于客体,它的类型称为Type,类型。
    只有domain和Type搭配,主体才可以对客体进行访问。

  • 级别(Level):
    仅在MLS策略下生效,默认为S0。由于MLS晦涩难懂,这里不介绍。

主客体访问实例
  • MAC targeted策略下,主客体间是否可以进行读写,主要在于Type的类型是否匹配。
  • 下面以apache为例,具体说明一下Type间的验证。
ll -Zd /usr/sbin/apache2 /var/www/html

system_u:object_r:file_t:s0  /usr/sbin/apache2
system_u:object_r:file_t:s0  /var/www/html/

在这里插入图片描述

  • file_t域可读取的客体,已经MAC targeted政策下被默认定义。我们可以通过sesearch命令查询。
sesearch -A -s file_t
Found 6 semantic av rules:
  allow file_type tmpfs_t : filesystem associate ; 
  allow file_type fs_t : filesystem associate ; 
  allow file_type noxattrfs : filesystem associate ; 
  allow file_type tmp_t : filesystem associate ; 
  allow file_type ramfs_t : filesystem associate ; 
  allow file_t file_t : filesystem associate ;    该政策声明file_t domain可对 file_t类型的文件资源进行访问
  • 至于apache2是否可以读写/var/www/html还需要看其DAC权限设置,也就常见的读、写、执行权限。
林多
关注
专栏目录
操作系统安全selinux简介.pptx
06-01
**SELinux(Security Enhanced Linux)**是由美国国家安全局(NSA)开发的一种强制访问控制(Mandatory Access Control,MAC机制,旨在增强Linux操作系统的安全性。传统的Linux安全模型基于自主式访问控制...
苹果的安全机制
BianHuanShiZhe的专栏
05-17 406
客户端安全性处理方式 网络传输协议 自定义协议 数据库 源代码混淆 现在的MD5已不再是绝对安全,对此,可以对MD5稍作改进,以增加解密的难度 加盐(Salt):在明文的固定位置插入随机串,然后再进行MD5 先加密,后乱序:先对明文进行MD5,然后对加密得到的MD5串的字符进行乱序 ...
【Linux】DAC、MACSElinux基本了解
大大不吹泡泡的博客
07-05 1782
SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中。因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。现在主流发现的Linux版本里面都集成了SELinux机制.CentOS/RHEL都会默认开启SELinux机制
ACL、DAC、MAC、RBAC、ABAC权限管理详解
最新发布
sunxunyong的博客
08-05 424
2、DAC(Discretionary Access control):是ACL的扩展,在其基础上,允许主体可以将自己拥有的权限自主地授予其他主体,权限可以随意传递。5、ABAC(Attribute-Based Access Control):基于属性的访问控制,通过各种属性来动态判断一个操作是否可以被允许。常见的操作包括“读取”,“写入”,“编辑”,“复制”和“删除”• 资源:资源是当前用户要访问的资产或对象,例如文件,数据,服务器,甚至 API。缺点:权限控制比较分散,主体权限太大,有泄露信息的危险。
Linux中SELinux理解
Thewei666的博客
02-18 1876
SELinux是Security Enhaanced Linux 的英文缩写,字面上的意思就是安全强化的Linux其实SELinux是在进行进程、文件等详细权限配置时依据的一个内核模块。由于启动网络服务的也是进程,因此刚好也是能够控制网络服务能否读写系统资源的一道关卡。
12.4 MAC安全
tang7mj的博客
01-06 1155
MAC作为保护数字通信的关键技术,其安全性不仅取决于算法和密钥的强度,还依赖于整个系统的安全架构和实践。随着技术的发展和新型攻击的出现,对MAC安全性进行持续的评估和加强已成为确保信息安全的必要手段。通过理解和应用强大的MAC机制,我们可以大大增强我们的通信系统的安全性,确保信息在数字空间中的安全传输。定义: 消息认证码(MAC)的安全性是指其抵抗各种攻击的能力,确保只有知道密钥的发送者才能生成有效的MAC,保障消息完整性和来源的真实性。MAC安全性 (12.4)穷举攻击。
selinux= 为 disabled_理解Linux下的SELinux
weixin_39631316的博客
11-26 3442
理解Linux下的SELinux长久以来,每当遇到授权问题或者新安装的主机,我的第一反应是通过setenforce 0命令禁用SELinux,来减少产生的权限问题,但是这并不是一个良好的习惯。这篇文章尝试对SELinux的基本概念和用法进行简单介绍,并且提供一些更深入的资料。Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Li...
selinux实现为linux安全模块报告
12-28
它提供了一个框架,使得开发者可以轻松地添加新的安全机制,如SELinux,而无需修改核心内核代码。 2. **SELinux基础概念** - **上下文(Context)**: 每个Linux对象(如文件、进程、网络套接字等)都有一个SELinux...
SELinux安全策略和探释.pdf
10-18
与传统的Linux安全机制不同,SELinux提供了更严格的访问控制策略,从而增强了系统的安全性。 #### 四、SELinux的特点 ##### 1. 强制访问控制(MACMAC机制确保所有资源(如文件、目录和端口)的访问均基于预定...
Android 中的安全增强型 Linux(selinux
10-03
安全增强型 Linux (SELinux) 是 Android 系统中一种重要的安全机制,它增强了操作系统的安全性,通过强制访问控制(MAC)对所有进程实施严格的权限管理。SELinux 的核心目标是防止恶意软件和未授权访问,即使对于...
Linux系统:selinux规则配置详解
十七拾的博客
03-07 4449
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
macbook关闭电脑的安全机制
Hannah_bb的博客
02-23 6322
macbook关闭电脑的安全机制
SELinux(Security Enhanced Linux)
一个搬运知识的笨小孩
03-15 369
1. SELinux初探 1.1 什么是SELinux SELinux是整合到内核的一个模块 SELinux是在进行进程、文件等详细权限设置时依据的一个内核模块 由于启动网络服务的也是进程,因此刚好也是控制网络服务能否读写系统资源的一道关卡 1.1.0 传统文件权限与账号的关系:自主访问控制(DAC,Discretionary Access Control) 使用DAC产生的结果,以Apache为例说明 1.1.1 以策略规则制定特定进程读取特定文件:强制访问控制(MAC,Mandatory Acces
Android系统10 RK3399 init进程启动(二十七) Selinux Type和Attribute
ldswfun的专栏
06-14 2617
Selinux实现的是强制类型访问模型, 可以简单理解一切都是类型, 不管是主体还是客体,都必须类型化, 如客体和客体和主体都需要设置安全上下文, 客体格式为u:r:xxx:s0, 主体为u:object_r:yyy:s0, 其中xxx和yyy是可以自定义的, 但是需要通过type进行类型化声明, 你可以理解type为一个动词,为xxx取名,客体一般声明type, 主体一般声明为domain...
linux的tmpfs和/dev/shm目录的详细介绍
jinking01的专栏
07-22 7008
去年到现在一直在做的传感器数据管理框架中使用到了mmap实现多个进程间的数据共享,为了更快的实现传感器数据写入到mmap中,同时便于查看和调试写入的数据,我们没有使用传统的文件来进行mmap映射,而是使用了/dev/shm目录作为临时文件充当mmap的源,这样将/dev/shm/a.dat文件进行mmap映射,可以加快写入速度和共享效率。原因就是/dev/shm虽然可以看做一个文件目录,但是它都是放在内存中的,重启后会消失,所以作为临时存储,效率会非常高,并且里面只存储了最新的一帧数据,内存...
Android 4.4.2 SELinux 与系统关系详解二: mac_permissions.xml 加载及seinfo 提取过程分析
万能的终端和网络
03-25 5377
PackageManager 调用mac_permissions.xml内容: mac_permissions.xml 加载文件位置:/frameworks/base/services/java/com/android/server/pm/SELinuxMMAC.java   执行加载的函数: private static boolean readInstallPolicy(File[]
SEandroid 安全机制---文件安全上下文
Jack的博客
06-10 1143
2文件安全上下文 SEAndroid是一种基于安全策略的MAC安全机制。这种安全策略实施在主体和客体的安全上下文之上。 这意味着安全策略在实施之前,SEAndroid安全机制中的主休和客体是已经有安全上下文的。 在SEAndroid安全机制中,主体一般就是进程,而客体一般就是文件。文件的安全上下文的关联有不同的方式。 本文主要分析文件安全上下文的设置过程。 虽然android系统中有各种
linux内核mac设置,MAC访问控制机制在Linux系统中的实现:SELinux
weixin_39851914的博客
05-01 514
SELinux全称:Security-Enhanced Linux,安全加强的Linux;SELinux系统的本来名称为MAC:强制访问控制;SELinux就是MAC访问控制机制在Linux系统中的实现;操作系统安全等级标准(橙皮书):D级别(最低安全级别)C级别:C1, C2 (DAC自主访问控制,例如windows等系统的安全级别为C1级别)B级别:B1, B2, B3 (强制访问控制级别M...
selinux安全机制是什么
05-11
SELinux(Security-Enhanced Linux)是一种安全机制,它在Linux内核中实现了强制访问控制(MAC)策略。它通过为每个进程和文件设置安全上下文,来限制进程和文件的访问权限。SELinux的主要目标是防止恶意软件和攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

林多

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值