SELinux Targeted模式下MCS的问题

最新推荐文章于 2025-11-27 10:24:50 发布
原创 最新推荐文章于 2025-11-27 10:24:50 发布 · 523 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#selinux

本文介绍了MLS(强制访问控制)和MCS(多级安全)的概念,并着重讨论了在Targeted模式下MCS为何默认无效。关键点在于,Targeted模式下的MCS需手动启用,通过调用特定接口将域加入限制。作者提供了一个示例规则(setest.te),展示了如何在自定义域下启用MCS以运行shell。理解并正确配置这些规则对于系统安全至关重要。

首先是MLS/MCS的介绍:
MLS:https://blog.youkuaiyun.com/MyArrow/article/details/9924293
MLS/MCS:https://blog.youkuaiyun.com/qq_41115702/article/details/106265256

其中MLS没啥好说的,需要专门开启MLS模式启用。
但是大部分测试时候,会发现MCS在targeted模式下是无效的
同时,同样运行在targeted模式下的虚拟机却拥有MCS隔离的功能(即MCS有效)

其中的核心原因在于:targeted模式下的MCS默认不启用,需要手工对指定的域(domain)启用

其中核心规则如图:
图片来自github的selinux官方项目下的默认规则模块,mcs.if接口文件如注释所说,只有调用该接口后,相应传入的域才会被MCS限制。
此处就要求,如果我们想要启用targeted模式下的MCS,就需要自行编写规则,将对应的域(系统自有的,或者新建规则中自定义的)通过调用此接口加入到限制中,才可启用MCS。
效果如下:
域是我自定义的

我的(setest.te)规则源码如下,此规则可完整运行一个自定义域下的shell(bash在root目录下,如上图):

SELinux系列(十)——SELinux Targeted、MLS和Minimum策略
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
10-24 1345
目录 Selinux策略简介 Target 策略 MLS 策略 Minimum 策略 Selinux策略简介 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型还决定需要哪些特定的安全上下文属性。通过策略类型,读者可以更精确地了解 SELinux 所实现的访问控制。 SELinux 提供 3 种不同的策略可供选择,分别是 Targeted、MLS 以及 MiNimum。每个策略分别实现了可满足不同需求的访问
Linux系统之SELinux详解
weixin_56303229的博客
03-03 2908
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程和用户只能执行那些被明确允许的操作。
SELinux - MCS
chuifuhuo6864的博客
11-16 389
1. 简介 多类安全 (MCS: Multi-Category Security)是一个增强的SELinux,允许用户使用类别来标记文件。 ...
SELinux详解之第二章——MLS/MCS
星留影的刹那间
05-21 5655
基本介绍 MLS&MCS(Multi-Level Security and Multi-Category Security)多层安全技术是指强制实施Bell-La Padula强制访问模型的安全方案。在MLS下,用户和进程称为Subject(主体),文件、设备和系统的其他组件称为Object(对象)。主体和对象都标有安全级别,每个安全级别都由一个敏感度和一个类别组成。在SELinux的情况下,一个进程(以“机密”级别运行)可以按当前级别进行读/写,但只能读取低级别的文件,或者写更高级别的文件(在被许
一文彻底明白linux中的selinux到底是什么
2401_83621095的博客
04-12 1429
选项功能-u 修改安全上下文的用户字段-r 修改安全上下文的角色字段-t 修改安全上下文的类型字段-l 修改安全上下文的级别字段–reference 修改与指定文件或目录相一致的安全上下文-R递归操作-h修改软链接的安全上下文(不加此选项则修改软链接对应文件)需要注意的是,如果系统已经在关闭 SELinux 的状态下运行了一段时间,在打开 SELinux 之后的第一次重启速度可能会比较慢。可以看到,在 DAC 模式下,只要相应目录有相应用户的权限,就可以被访问。一般不用,除非对安全性有极高的要求。
浅析linux之SElinuxtargeted规则(Policy)
完颜振江
02-11 3955
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖! 这里学习的是在规则targeted下的一些常用操作 1、查看本机的selinux的状态 [root@localhost
6.6.11、SELinux Targeted、MLS 和 Minimum 策略
融码一生:专注 Python、C/C++、Linux、机器学习 & 深度学习、NLP、算法领域分享
04-09 869
SELinux 所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型还决定需要哪些特定的安全上下文属性。通过策略类型可以更精确地了解 SELinux 所实现的访问控制。
如何正确配置SELinux使程序正常运行(targeted模式
轻步玉阶
08-21 3508
一、背景介绍 近期在安装配置MongoDB的时候,用自己配置的数据目录始终无法正常运行,报错为ERROR: child process failed, exited with error Number 100,启动日志记录“Attempt to create a lock file on a read-only directory: /mnt/disk1/mongo, termin...
安装centos6.6时卡在selinux-policy-targeted
zhangna的博客
04-27 5576
今天在虚拟机上安了一个centos6.6,但是当按到selinux-policy-targeted时,进度条就不再往前走了。开始我以为是我分的空间不够多大,因此我就分15G去安装该系统,但是类似的情况再次发生。我在自定义分区的时候只创建了根分区/ ,没有SWAP 当我第三次安装该系统,在创建自定义分区时,给/分了10000M,swap 4000M。这次就顺利将系统安装成功。 当然,我们
77、深入了解Linux安全增强:SELinux全方位解析
最新发布
u9v0w的博客
11-27 10
本文深入解析了Linux系统中的SELinux安全机制,涵盖其基础概念、三种运行模式(强制、宽容、禁用)的区别与应用场景,详细介绍了SELinux的安全上下文组成及查看方法。文章还讲解了目标策略、多级安全策略(MLS)和最小策略的特点,并展示了策略规则包的结构与管理方式。通过配置文件修改、命令行工具使用以及实际应用示例(如测试新应用、保护服务),全面指导用户如何根据安全需求配置SELinux。同时提醒了模式切换风险、过时注释问题和策略包依赖等关键注意事项,帮助用户在不影响系统稳定性的前提下提升安全性。
selinux】Linux的信息安全模块 - selinux
qq_38089448的博客
07-23 1106
selinux全称(Security-Enhanced Linux)安全增强型Linux,它是一个Linux内核模块,也是Linux的一个安全子系统。
【安全利器SELinux快速入门系列 01】SELinux基础入门_selinux书(1)
2401_84185951的博客
05-06 1171
进程的主体是进程,客体是被访问的资源。MAC机制的特点在于,资源的拥有者,并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。4MAC强制访问控制的流程大致是上图所示,分为3个步骤主体程序必须要通过 SELinux 政策内的规则放行后,就可以与目标资源进行安全性本文的比对;若比对失败则无法存取目标,若比对成功则可以开始存取目标。最终能否存取目标还是与文件系统的 rwx 权限设置有关。
Selinux规则转换工具GW_selinux_04使用教程
1. **Enforcing模式**:在这种模式下,SELinux策略被强制执行,任何不符合策略的行为都会被阻止,并记录在日志文件中。 2. **Permissive模式**:策略被评估,但违反策略的行为不会被阻止,仅仅记录在日志文件中。这...
SELinux
wacpguo的专栏
06-10 652
SELinux是一种强制访问控制(MAC)机制,在许多GNU/Linux发行版中都是内置的。SELinux起源于FLASK框架(Flux Advanced Security Kernel),该框架由犹他大学Flux团队和美国国防部合作开发。后来美国国家安全局对此做了进一步开发,并作为开源软件发布。
Linux安全之SELinux理解
bo_的博客
12-11 1948
restorecon -v /var/www/html/index.html # 如果要以回递的方式撤消整个目录的缺省安全性脉络 restorecon -Rv /var/www/html # 除此之外,如果我们只想检查/var/www/html目录内有哪些文件的安全性脉络需要被撤消 # 我们在采用 restorecon 时可以应用 -n 这个标旗来防止重新标签的行动 restorecon -Rv -n /var/www/html。在未启用 SELinux 的情况下,要控制用户的文件访问权,唯有通过。
Linux中SELinux、Shell简介、touch命令的应用知识总结_shell touch
2401_83946044的博客
04-13 1143
Shell:n.外壳;炮弹;(贝、卵、坚果等的) 壳;(人的) 表面性格;vt.去壳,脱落;炮击;vi.剥皮;炮轰;Shell在Linux中俗称“壳”,Shell处于Linux Kernel的外围,就像个“壳”一样,如下图所示:Linux Kernel承担的任务是上层的服务、应用以及硬件控制等,但Linux Kernel是无法直接去控制的,也即用户是不允许直接与Linux Kernel进行通信的。这里就需要借助Shell这个“壳”。
SELinux--Linux历史上最杰出的新安全子系统
weixin_42142679的博客
12-20 444
一、介绍 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。(工作当中都是默认关闭的) SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全...
隔离高风险程序:应用SELinux Targeted策略
"目标策略"(targeted policy)是SELinux的一种策略模式,它是从严格的“strict”策略中简化而来,旨在平衡安全性与可用性。targeted策略专注于隔离高风险的程序,提供适度的安全保护,而不像strict策略那样对所有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值