SElinux

最新推荐文章于 2024-05-01 12:51:56 发布
最新推荐文章于 2024-05-01 12:51:56 发布
阅读量589 收藏 1
点赞数
分类专栏: Linux系统管理 文章标签: SElinux linux安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HzSunshine/article/details/53383508
版权
一 SElinux是什么
    SElinux是美国国家安全局开发为linux安全强化,是在程序、文件等权限设置时依据的一个核心模块。
        自主式存取控制(DAC):根据程序的拥有者和文件rwx权限决定操作者对文件有无存取权限,所以root就可以操作任何文件(不安全,容易误操作)。
        委任式存取控制(MAC):针对特定的程序与特定的程序与文件进行权限控管(root也是)。
        SElinux就是通过MAC方式来控制程序,它有些控管默认的政策和规则。
二SElinux运行模式
    
    
    1)主体程序(进程)必须要通过SELinux政策内的规则放行后,就可以与目标资源进行安全性上下文的比对。
     2)若比对失败则无法存取目标,若比对成功则可以开始存取目标。
     (服务用不了跟SElinux有关的:要么是 规则的布林值限制 直接定义了,要么就是 安全上下文不匹配

     目前的政策一般用 targeted。 ( getsebool  -a 可查看规则限制 )
   
   SELinux策略包括两点:安全上下文
     SElinux域:对进程资源进行管理(其实算是进程的安全上下文
        ps -Z 查看
        
    SElinux安全性上下文:对系统资源进行限制(文件目录的安全上下文
        安全性上下文存在于主体程序中与目标文件资源中。每个文件都有,存在文件的indoe中。
        ls -Z 可查看
        
        
          可分为三字段:  Identify (_u):role (_r):type (_t) 
        Identify(身份识别):
            1.unconfined_u:不受限用户。
            2.system_u:系统用户。
        role(角色):
            1.object_r:代表文件和目录等文件资源。
            2.system_r:代表程序。
        type(类型)(重要!)
            1.type:在文件资源上
            2.domain:在主体程序上(进程的
            type与domain匹配,程序才能够顺利读取文件资源
三 SElinux模式
    1.enforcing:强制模式。运行,开始限制domain/type.
    2.permissive:宽容模式。运行,不限制只警告
    3.disabled:关闭。
   

    SElinux相关命令(/etc/selinux/config)
        1.getenforce 查看SElinux状态
        2.sestatues 查看SELinux的政策
         -v检测列于 /etc/sestatus.conf 内的文件与程序的安全本文内容
          -b 将目前规则的规则布林值列出,也就是某些规则(role)是否启动(0/1)
        3.SElinux开启与关闭 修改/etc/selinux/config下的SELINUX=(mode)  (要重启,必须的)
        4.setenforce nu 开启状态模式切换 (不用重启)
            0 permissive模式
            1 Enforcing模式

四 SElinux政策里的规则管理(查看SElinux政策的规则是否允许某些服务在某些目录下开发)
    1.getsebool 规则名 查看规则是否启动
      -a 列出所有系统的所有SElinux规则的布林值设置启动
   
    2.setsebool 设置规则的布林值开启/关闭
         -P 永久生效

    (扩充工具应用)
    规则具体限制要查看需seinfo sesearch工具(默认不安装 yum install setools-console-*
    1.seinfo 
      -A 列出SELinux的状态、规则布林值、身份识别、角色、类别
      -u 列出SElinux的所有身份识别(user)种类
      -r 列出SELinux的所有角色(role)种类
      -t 列出SELinux的所有类别(type)种类
      -b 列出所有规则种类
    2.sesearch [-A] [-s 主体类别] [-t 目标类别] [-b 布林值]
        -a 列出后面数据允许"读取或放行"的相关数据
      -t type
      -b SELinux规则
   

五 SElinux安全本文的修改(主要用于文件因SElinux的type不符合要求而无法运行的修改)
    1.chcon file/dir
      -R 连同该目录下的此目录也同时修改
      -t type 指定安全文本的类型字段
       -u Identify 指定身份
       -r role 指定角色
      -v 若有变化,列出变化结果
      --reference=file1(范例文档) 拿某个文档当范例来修改后接文件
    2.restorecon file/dir 把目录下的文件恢复成默认目录的type (常用)
     -R 连同次目录一起修改
     -v 显示过程
       -e 排除目录
       -i 忽略不存在文件
       -F 强制恢复
    3.semanage 默认目录的安全性本文查询与修改
    {login|user|port|interface|fcontext|translation}
     fcontext : 主要用于安全环境。(/etc/selinux/targeted/contexts/
      -l 查询
      -a 增加目录的默认安全性本文设置
      -m 修改
      -d 删除
            -t type   指定安全文本的类型字段
           -u  Identify  指定身份
           -r  role  指定角色
    修改后,ll -Z 显示不会立即变,可用 restorecon -Rv 目录 恢复立即才会生效
(整理自《鸟哥》《Linux就该这么学》)
    

[Android][L][SELinux]Define a SELinux domain for Service
ganjinrui的专栏
04-08 1万+
一、适用情景 当在init.rc中新增service: service ro_isn /system/bin/isn.sh class late_start user root Oneshot kernel log会打印以下log: Warning!  Service ro_isn needs a SELinux domain defined; please fix! 这是因为Ser
Linux下的selinux
weixin_43936969的博客
11-14 371
一、selinux的定义 selinux: 一种控制服务安全,是内核上面的一个插件,也叫做内核级加强型火墙,是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以...
Define a SELinux domain for Service
09-27
How to define a SELinux domain for a new Service. 最简洁的模板
SELinux简介
MyArrow的专栏
08-08 8136
1. 简介     SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux® 上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux
binary进程的selinux domain初始化过程(初稿,待整理)
weixin_34216107的博客
03-20 403
虽然在各种context文件中声明了每个subject对应的domain,可是这个domain是如何与一个进程关联的呢?把一个domain与一个进程关联分为两种:1)fork出来进程以后,然后通过传递参数的方式动态的修改新进程的domain;2)通过exec某个binary启动进程,该新启动进程的domain是由其对应的binary object的context决定。但是无论是哪种启动方式,最终的...
SELinux SELinux SELinux
09-14
SELinux(Security-Enhanced Linux)是一个安全模块,它提供了对Linux操作系统上的强制访问控制(MAC)架构的支持。SELinux的主要目的是减少操作系统和应用程序中的安全漏洞,增强系统的安全性。SELinux的工作原理是...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的LinuxSELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-policy-3.13.1-268.el7-9.2.x64-86.rpm.tar.gz
02-03
在这个文件中,包含了名为selinux-policy-3.13.1-268.el7_9.2.x64-86.rpm的软件包以及其依赖文件。这类文件是通过RPM(Red Hat Package Manager)包管理器进行安装的,通常在基于Red Hat的Linux发行版中使用,比如...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的 该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如,现有的三星内核。 如何安装: 稳定发布: 从发布页面最新的selinux_permissive.zip MagiskManager->模块+ Downloads / selinux_permissive.zip->重新启动 主分支: git clone cd selinux_permissive 进行安装 支持
LinuxSELinux理解
Thewei666的博客
02-18 1962
SELinux是Security Enhaanced Linux 的英文缩写,字面上的意思就是安全强化的Linux其实SELinux是在进行进程、文件等详细权限配置时依据的一个内核模块。由于启动网络服务的也是进程,因此刚好也是能够控制网络服务能否读写系统资源的一道关卡。
SELinux基础
m0_59081230的博客
02-05 373
SELinux(Security Enhanced Linux)提供了一个额外的系统安全层。SELinux 可用于解 答:是否可以针对进行?。例如:一个 web 服务器是否可以对用户目录 中的文件进行访问? 系统默认系统管理员一般无法通过基于用户、组群和其它权限(称为 Discretionary Access Control, DAC)的标准访问策略生成全面、精细的安全策略。 SELinux
SELinux详解
热门推荐
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
Linux学习——selinux
qq_41679358的博客
07-13 678
SELinux三种模式简介 Enforcing:强制模式。代表SELinux在运行中,且已经开始限制domain/type之间的验证关系 Permissive:宽容模式。代表SELinux在运行中,不过不会限制domain/type之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正确会发出警告 Disabled:关闭模式。SELinux并没有实际运行 getenforce 查看当前SELinux的运行模式 setenforce 改变当前SELinux的运行模式(0 宽容模式 1
Linuxselinux详解
huaz_md的博客
03-10 4906
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其中u代表user。
Selinux的type创建
无本之木
08-16 3415
In fedora the resources and files necessary for building new modular policies are in the devel directory under /usr/share/selinux/. This directory and all the files required for module development com
Selinux -篇1 selinux简述
xieyinsen的专栏
11-25 1582
1、简述 相较于传统的自主访问控制策略,基于用户组管理实现。文件和进程基于用户组管理。 selinux为强制访问控制策略。基于对进程(app、bin)和其访问的文件(文件、服务、网络等)做的精准匹配。 抽象为进程域和对应的资源文件的访问策略。 以下文章重点讲述,android下的selinux实现策略。 1. 一般性错误检查,例如访问的对象是否存在、访问参数是否正确等。 2. DAC检查,即基于Linux UID/GID的安全检查。 3. SELin...
selinux 基础知识
weixin_65785894的博客
05-01 1136
SElinux的以策略规则指定特定程序读取特定文件:属于强制访问控制MAC(Mandatory access control)可以争对特定的进程与特定的文件资源来进行权限的控制,即使你是root在使用不同的进程时,你所能取得的权限并不一定时root,而使你时root在使用不同的进程时,你所能取得的权限并不一定是root,而得要看当时该进程得设置而定,则就可以针对进程来进行访问控制。例如,电脑上下载了一个美图软件,当你使用的时候,你却不知道,它在后台默默监听这浏览器中输入密码信息。
selinux
最新发布
03-08
### SELinux 配置与故障排除 #### SELinux 基本概念 Security-Enhanced Linux (SELinux) 是一种强制访问控制机制,旨在提供更细粒度的安全策略来保护操作系统免受恶意攻击。通过定义严格的安全标签和权限规则,即使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值