SELinux基础与AppArmor

最新推荐文章于 2025-06-01 09:14:59 发布
最新推荐文章于 2025-06-01 09:14:59 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bai___DDD/article/details/79103720
本文介绍了Linux中的两种安全机制——SELinux和AppArmor。SELinux是一种安全策略机制,通过域和上下文限制进程和文件,提供预置策略,并可通过getenforce和setenforce查看及调整工作模式。AppArmor则使用路径名作为安全标签,通过配置文件定义程序权限,其配置文件可以设置为enforce或complain模式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



SELinux基础与AppArmor




一 SELinux

SELinux(Secure Enhanced Linux):安全增强的Linux 是一个Linux安全策略机制,允许管理员更加灵活的定义安全策略。

SELinux是一个内核级的安全机制,从2.6内核之后,集成到Linux内核中。

SELinux定义了两个基本概念:

1.域:对进程进行限制;

2.上下文:对文件进行限制;


SELinux通过策略规定哪些域可以访问哪些上下文、哪些进程可以访问哪些文件。 

SELinux有很多预置策略,通常不需要自定义策略,除非需要对自定义程序、服务进行SELinux保护。CentOS/RHEL默认使用目标策略。


常用命令:

        显示文件的SELinux上下文信息:ls -Z

        显示进程的SELinux域信息:ps -Z

        恢复一个文件的默认SELinux上下文:restorecon -R /var/www

        修改一个文件的SELinux上下文:chcon --reference=/etc/named.conf.orig  /etc/named.conf 


SELinux有三种工作模式:

enforcing       强制模式。任何违反策略的行为都会被禁止,并且产生警告信息。

permissive    允许模式。违反策略的行为不会被禁止,只产生警告信息。

disabled        关闭SELinux。
 
SELinux模式可以通过修改配置文件:/etc/sysconfig/selinux进行修改。

命令getenforce可以查看当前SELinux工作模式。

命令setenforce可以修改当前SELinux工作模式。



二 AppArmor

    AppArmor同样是内核级别的安全机制,集成于内核中。与SELinux的最大区别是AppArmor使用路径名作为安全标签,而SELinux使用文件的inode

作为安全标签。

    AppArmor通过一个配置文件来指定一个应用程序的相关权限。


配置文件的工作模式:

enforce:对程序的行为进行限制(依照配置文件),并对于违反限制的程序进行日志记录。

complain:不对程序的行为进行限制,只对程序的行为进行记录。


比较有用的命令:

    自动生成程序的配置文件:aa-genprof

    设置配置文件的工作模式: aa-enforce  lightdm-guest-session / aa-complain light-guest-session

    查看AppArmor当前的状态:apparmor_status

    显示拥有tcp/udp端口,但未处于apparmor监控下的进程:aa-unconfined



配置文件的格式(自动生成的):

#include <tunables/global>


/usr/bin/mtr { 

  #include <abstractions/base>


  /usr/bin/mtr  mr,     # 允许可执行映射,可读


}

Linux 学习笔记---SELinuxAppArmor
某技术爱好者的专栏
07-03 7021
Linux学习笔记---SELinuxAppArmor
【Linux 从基础到进阶】SELinux AppArmor 安全模块配置
weixin_39372311的博客
08-07 1195
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的安全模块,通过强制访问控制策略来保护系统。它基于安全策略的定义,限制进程对系统资源的访问。AppArmor(Application Armor)是一个安全模块,通过定义应用程序的安全策略来限制其行为。它使用配置文件(profile)来描述进程对文件、网络和其他资源的访问权限。通过本文的介绍,您已经了解了 SELinuxAppArmor 的基本概念、安装和配置方法。
AppArmorSElinux
weixin_45216475的博客
02-02 1436
1、关系 AppArmor最初由Immunix开发,随后由Novell维护,它是SELinux的替代品方法,也使用了Linux安全模块(LSM)框架。通过SELinuxAppArmor使用了同样的框架,因此它们可以互换。AppArmor的开发初衷是因为有人认为SELinux太过复杂,不适合普通用户管理。AppArmor包含SELinux的一个问题在于,它需要一个支持扩展属性的文件系统;而AppArmor对文件系统没有任何要求。 2、比较 易用性:对一个ftp程序做相同的限制,使用apparmor的规则只是
Linux安全模块深度对比:SELinuxAppArmor、Yama、TOMOYOSmack详解
最新发布
gitblog_00361的博客
06-01 1153
Linux安全模块深度对比:SELinuxAppArmor、Yama、TOMOYOSmack详解 前言 在Linux系统安全领域,Linux安全模块(LSM)作为内核级的安全框架,为系统提供了强制访问控制(MAC)能力。本文将深入解析五种主流LSM方案:SELinuxAppArmor、Yama、TOMOYO Linux和Smack,帮助读者理解它们的技术特点适用场景。 一、LSM核心概念 ...
SELinuxAppArmor的了解
pingyufeng的博客
07-17 389
SELinuxAppArmor
Linux Kernel Security (SELinux vs AppArmor vs Grsecurity)
weixin_30726161的博客
08-12 178
Linux Kernel Security (SELinux vs AppArmor vs Grsecurity) 参考文档: http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecurity.html http://www.linuxidc.com/Linux/2015-03/115509.htm SE...
linux-安全管理-SELinux / AppArmor
Flying_Fish_roe的博客
09-17 1662
SELinux 是由美国国家安全局(NSA)开发的一个Linux内核安全模块,它通过强制访问控制(MAC)策略限制进程对系统资源(文件、端口、设备等)的访问。传统的自主访问控制(DAC,Discretionary Access Control)不同,SELinux允许系统管理员定义更加严格的访问控制规则,即使是具有超级用户权限的进程也会受到限制。AppArmor 是另一个强制访问控制系统,它提供了SELinux类似的安全功能,但其策略和使用方式更加简单。
Linux 系统安全加固:深入 SELinux AppArmor
weixin_39372311的博客
07-08 1382
SELinuxAppArmor 是两款强大的 Linux 安全模块,它们可以帮助你加固 Linux 系统安全,防止未经授权的访问和恶意行为。通过学习它们的原理、配置和使用方法,你可以更好地保护 Linux 系统安全,确保其稳定运行。
SelinuxAppArmor对比选择指南
SelinuxAppArmor是被广泛用于Linux系统的安全模块。它们提供了额外的安全层,通过强制访问控制(MAC)机制对系统资源进行保护。本章将介绍SelinuxAppArmor的基本概念及其在安全性领域的重要性。 ###### 1.2 ...
linux安全策略加固文档_Linux 下selinuxAppArmor安全策略初探
weixin_31898831的博客
12-25 543
前言:SELinux(Secure Enhanced Linux)和AppArmor同样都是内核级别的安全机制,集成于内核中,两者的不同是SELinux使用文件的inode作为安全标签,而AppArmor使用路径名作为安全标签今天就为大家分享一下这两种安全机制,虽说分享,其实也只是初探(只是皮毛),因为在平时使用中,我一般也是关闭这个安全机制。一,先来介绍selinuxAppArmor...
Linux笔记之SELinux AppArmor
K
11-19 1054
概念说明SELinux(Security-Enhanced Linux)是Linux内核的一个安全模块,用于通过定义安全策略来限制用户及进程对系统资源的访问。Enforcing:强制执行策略。Permissive:记录违规行为但不阻止。Disabled:关闭SELinux。状态查看getenforce输出示例Enforcingsestatus输出示例概念说明。
在 Linux 上用 SELinuxAppArmor 实现强制访问控制(MAC)
weixin_34025051的博客
05-02 559
为了解决标准的“用户--其他/读--执行”权限以及访问控制列表的限制以及加强安全机制,美国国家安全局(NSA)设计出一个灵活的强制访问控制Mandatory Access Control(MAC)方法 SELinux(Security Enhanced Linux 的缩写),来限制标准的权限之外的种种权限,在仍然允许对这个控制模型后续修改的情况下,让...
Linux安全模块:SELinuxAppArmor深度解析
代码不止,探索不息
04-25 1266
在Linux安全领域,SELinuxAppArmor就像两位忠诚的"系统保镖"💂,为你的服务器提供强制访问控制(MAC)保护!本文将深入解析这两大安全模块的工作原理、配置方法和实战技巧。无论你是要加固Web服务器,还是想保护关键数据,掌握这些知识都能让你的系统安全性提升一个等级!🔒 让我们一起探索Linux安全模块的奥秘吧~ 🚀
Linux桌面需要强制访问控制,在 Linux 上用 SELinuxAppArmor 实现强制访问控制(MAC)...
weixin_35886636的博客
05-10 602
为了解决标准的“用户--其他/读--执行”权限以及访问控制列表[1]的限制以及加强安全机制,美国国家安全局(NSA)设计出一个灵活的强制访问控制(MAC)方法 SELinux(Security Enhanced Linux的缩写),来限制标准的权限之外的种种权限,在仍然允许对这个控制模型后续修改的情况下,让进程尽可能以最小权限访问或在系统对象(如文件,文件夹,网络端口等)上执行其他操作。SEL...
Linux安全模块AppArmor总结
yolo_yyh的博客
11-24 6356
Linux的安全模块,除了SELinux还有AppArmorAppArmor相对来说要简单很多,多用于Ubuntu系统,这篇文章带大家了解AppArmor的策略。
Linux内核学习笔记——SELinux介绍(SELinux Policy是什么?)
ZP1015
07-01 2522
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux基础框架;第二部分介绍了SELinux基础理论;第三部分简单介绍了SELinux Policy。 本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。 一、SELinux Overview 1. SELinux 来源 SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation
如何在Ubuntu上更改MySQL数据存储路径
jieshenai的博客
10-12 2458
本文介绍了在Ubuntu系统中更改MySQL数据存储路径的详细步骤。首先,建议备份现有的数据库数据以防止丢失。接着,停止MySQL服务并复制现有数据到新的目录。然后,修改MySQL配置文件以更新数据目录和socket位置。对于启用了AppArmorSELinux的系统,需相应更新其配置以允许访问新目录。最后,重启MySQL服务并验证更改是否成功。
Linux Security Framework -- Apparmor机制介绍
热门推荐
少帅的天空
09-05 1万+
AppArmor 是一个类似于selinux 的东东,主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。     Novell给出的Apparmor的解释: AppArmor is designed to provide easy-to-use application security for both
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值