SELINUX

最新推荐文章于 2025-02-10 09:50:42 发布
最新推荐文章于 2025-02-10 09:50:42 发布
阅读量156 收藏
点赞数
分类专栏: linux 文章标签: selinux 介绍
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bbj1030/article/details/103399098
版权
SELinux是Secure Enhanced Linux,基于Linux内核的强制访问控制机制。它提供strict和targeted两种工作模式,前者严格控制所有进程,后者仅限于关键进程。系统中的subject(进程)和object(如文件)被赋予安全标签,包括user:role:type。通过规则库定义哪些域可以访问特定类型的文件。配置SELinux涉及启用状态检查、文件打标和设置布尔型特性。SELinux有enforcing(强制执行)、permissive(宽容模式,仅记录违规)和disabled(关闭)三种状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • SELinux:Secure Enhanced Linux,工作于Linux内核中
    • DAC:自主访问控制法则
    • MAC:强制访问控制
  • SELinux有两种工作级别:
    • strict:每个进程都受到selinux的控制
    • argeted:仅有限个进程受到selinux控制,只监控容易被入侵的进程
  • sandbox:subject operation object
    • ubject:进程
    • object:进程,文件
      • 文件:open,read,write,close,chown,chmod
  • SELinux为每个文件提供了安全标签,也为进程提供了安全标签
    • user:role:type
    • role:角色
    • type:类型
  • SELinux规则库:
    • 规则:哪种域能访问哪种或哪些种类型内文件;
    • 配置SELinux:
      • SELinux是否启用:
      • 给文件重新打标;
      • 设定某些布尔型特性;
  • SELinux的状态:
    • enforcing:强制,每个受限的进程都必然受限;
    • permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志;
    • disabled:关闭
  • 相关命令
getenforcing:获取selinux当前状态
setenforce 0|1
    0:设置为permissive
    1:设置为enforcing
    此设定:重启系统后无效
配置文件: /etc/sysconfig/selinux,/etc/selinux/config
SELinux=[disabled|enforcing|permissive]
给文件重新打标签:
chcon命令:chcon ‐ change file SELinux security context
    chcon  [OPTION]... [‐u USER] [‐r ROLE] [‐l RANGE] [‐t TYPE] FILE...
    ‐R:递归打标
还原文件的标签:restorecon ‐ restore file(s) default SELinux security contexts.
    ‐ restorecon [‐R] [‐n] [‐p] [‐v] [‐e directory] pathname…
布尔型规则
    getsebool
    setsebool
getsebool命令:getsebool ‐ get SELinux boolean value(s)
getsebool [‐a] [boolean]
setsebool命令
setsebool [ ‐PNV ] boolean value | bool1=val1 bool2=val2
selinux介绍
lin_made的博客
05-16 295
1.selinux 内核级加强型防火墙 1)针对文件,会对系统的每个文件添加安全上下文,针对进程,会对系统的每个进程添加安全上下文 2)会在系统的服务上设定sebool开关 3)当进程的安全上下文与文件的安全上下文不匹配的时候,进程无法访问该文件 4)sebool会限制服务的不安全功能,如果要开放此功能,需要调整bool值 2.selinux管理 [root@localhost ...
linux之selinux
SS_CC_Go的博客
05-09 665
一、selinux的基本概念 1、什么是selinuxSELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没...
Android系统SELinux详解
u010345983的博客
02-10 3693
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
SELinux 学习总结
helloWen
01-25 1786
SELinux 学习 1 什么是SELinux 2 SELinux的运行模式 3 SELinux的启动关闭与查看 4 SELinux的策略与规则管理 小结 SEAndroid 学习 1 SEAndroid各种资源定义 2 SEAndroid类型规则 3 SEAndroidwen文件全上下文 4 SEAndroidwen进程全上下文 5 SEAndroid常用命令 小结 总结
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)
weixin_34029680的博客
06-04 1363
SElinux共有3中状态。1、selinux的配置文件:/etc/selinux/config# This file controls the state of SELinux on the system.  3 # SELINUX= can take one of these three values:  4 #     enforcing - SELinux security policy ...
SELinux For Android(Android O)
从0到1,突破自己
02-05 8638
注!该文章主要是从Android官方文档SELinux模块进行精简,简单添加了一些自己的理解     从 Android 4.3 起,SELinux 开始为传统的自主访问控制 (DAC) 环境提供强制访问控制 (MAC) 保护功能。例如,软件通常情况下必须以 Root 用户帐号的身份运行,才能向原始块设备写入数据。在基于 DAC 的传统 Linux 环境中,如果 Root 用户遭到入侵,攻击
SELinux SELinux SELinux
09-14
SELinux(Security-Enhanced Linux)是一个安全模块,它提供了对Linux操作系统上的强制访问控制(MAC)架构的支持。SELinux的主要目的是减少操作系统和应用程序中的安全漏洞,增强系统的安全性。SELinux的工作原理是...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍SELinux的作用、生效机制以及策略模块的编写,...
selinux-policy-3.13.1-268.el7-9.2.x64-86.rpm.tar.gz
02-03
在这个文件中,包含了名为selinux-policy-3.13.1-268.el7_9.2.x64-86.rpm的软件包以及其依赖文件。这类文件是通过RPM(Red Hat Package Manager)包管理器进行安装的,通常在基于Red Hat的Linux发行版中使用,比如...
Android Selinux详解[二]--新增文件标签相关
weixin_41028555的博客
03-07 2898
在工作过程中,SElinux常用的有以下几个文件可用于新增标签restorecon在Selinux中是一个非常常用的命令,其解释如下"restorecon" 是一个用于恢复文件或目录的 SELinux 安全上下文的命令。在使用 SELinux(Security-Enhanced Linux)时,每个文件和目录都有一个安全上下文,它描述了文件或目录的安全属性和访问权限。如果由于某种原因安全上下文发生了改变,例如文件被移动或复制,可能导致安全上下文不一致。
深入理解SELinux SEAndroid之二
Venus 的博客
12-21 2049
接第一部分的内容(深入理解SELinux SEAndroid(第一部分)_Innost的专栏-优快云博客_domain_auto_trans)。
SeLinux安全上下文文件
littleyards的博客
04-01 1220
在Android中,常见的安全上下文文件有file_contexts、genfs_contexts、service_contexts、mac_permissions.xml和seapp_contexts。seapp_contexts,app的安全上下文,用于描述apk 安装之后的目录文件和/data/data 目录分配标签。根系统中所有文件的安全上下文, 如/system/bin, /system/etc 等文件。系统binder服务的安全上下文,在启动过程中,servermanger会读取该配置。
查看SELinux状态&关闭SELinux
weixin_30399055的博客
08-02 615
1. 查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [root@l...
linux内核enforcing引导参数
韦远科的专栏
09-26 5397
enforcing参数是在启动内核时传递给selinux的内核参数,它用来决定你系统的内核运行于 强制(enforcing )模式还是自由(permissive) 模式。 在自由模式下SELinux只是记录他该做什么,而事实上并不做任何动作。在强制模式下SElinux会来真格的。 如果你的策略有错误,在强制模式下系统可能会阻止你登陆!所以正常情况下你应改在启动时传 enforcing=
SElinux安全子系统初探
young_monkeysun的博客
08-08 268
SElinux初探SELinux简介SElinux配置获取SELinux当前运行模式设置SELinux运行模式查看SELinux安全值上下文semanage 设置SELinux安全上下文修改`/home/wwwroot`SElinux安全上下文令SELinux设置的安全上下文立即生效查看效果个人用户主页功能开启httpd个人用户主页功能创建保存网站数据文件夹查询SELinux安全策略使用`setsebool`修改SELinux策略安全规则再网站中添加口令功能生成密码数据库`htpasswd 命令`编辑个人用
selinux中Enforcing, Permissive 和Disable这三种模式的区别
热门推荐
weixin_40991510的博客
04-15 1万+
1、如果要马上拒绝运行SELinux: [root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce Permissive 这条命令会把SELinux设定成Permissive模式,其中setenforce 1会把SELinux设定成Enforcing模式 2.把SELinux永久设定为Permissive模式 这里需要讲一下P...
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
lxw1844912514的博客
09-04 4414
http://blog.sina.com.cn/s/blog_5aee9eaf0100y44q.html 在CentOS6.2 中安装intel 的c++和fortran 的编译器时,遇到来一个关于SELinux的强制模式不可执行的情况, 需要关闭SELinux 或者 将enforcing改为 permissive 模式,查询来一些资料后,先对SELinux的几种模式,以及其之间的...
SElinux
最新发布
03-12
<think>好的,我现在需要处理用户关于SELinux配置和常见问题的查询。首先,用户可能想了解SELinux的基本配置方法,以及如何解决使用中遇到的常见问题。根据提供的引用内容,我需要整合这些信息,确保回答结构清晰,同时遵循系统级指令,比如正确使用LaTeX格式和引用标识。 首先,我应该概述SELinux的基本概念和工作原理。引用3提到SELinux是Fedora的策略基础,提供细粒度控制,引用4则指出它是Android中的严格权限机制。需要解释三种模式(enforcing、permissive、disabled),可能用数学符号表示状态切换,比如使用$setenforce 0$这样的命令。 接下来是配置步骤。引用1提到正确配置和故障排除可以提高安全性,所以需要分步骤说明如何设置策略类型、修改配置文件、管理上下文和端口。这里可能需要使用独立公式块来展示示例命令,比如使用$$格式列出布尔值设置。 然后是常见问题及解决方案。引用2和引用4提到权限问题,比如拒绝访问或进程无法启动。需要列出具体问题,如日志分析、恢复文件上下文、调整布尔值等。每个问题对应解决方法,并在末尾添加引用标识,例如[^1]、[^2]。 最后,生成相关问题。根据用户可能的后续疑问,比如如何调试策略、与AppArmor的区别、在Android中的作用等。确保问题覆盖配置、原理、应用场景等方面。 需要注意检查LaTeX格式是否正确,所有行内变量用$...$,独立公式用$$...$$。同时,引用标识要自然添加在引用的段落末尾。例如,提到配置过程时引用,处理权限问题时引用[^4]。 可能需要避免技术术语过多,保持解释清晰易懂。确保各部分逻辑连贯,从概述到配置,再到问题解决,逐步深入。最后的问题部分要针对用户可能感兴趣的扩展点,帮助他们进一步探索。</think>### SELinux 配置及常见问题解决方案 #### 一、SELinux 基础概念 SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)系统,通过细粒度策略限制进程和用户的权限[^3]。其核心机制包括: 1. **三种运行模式**: - **Enforcing**(强制模式):拦截违反策略的操作 - **Permissive**(宽容模式):仅记录违规不拦截 - **Disabled**(禁用模式) 模式切换示例: ```bash $ setenforce 0 # 临时切换为Permissive模式 ``` 2. **安全上下文**: 每个系统对象(文件/进程)都有形如$$user:role:type:level$$的标签,例如: ```bash $ ls -Z /etc/passwd system_u:object_r:passwd_file_t:s0 /etc/passwd ``` #### 二、基础配置步骤 1. **策略类型选择** ```bash $ sudo vi /etc/selinux/config SELINUX=enforcing SELINUXTYPE=targeted # 可选strict/mls ``` 2. **文件上下文管理** ```bash $ semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" $ restorecon -Rv /web ``` 3. **网络端口绑定** ```bash $ semanage port -a -t http_port_t -p tcp 8080 ``` 4. **布尔值调整** ```bash $ setsebool -P httpd_can_network_connect=1 ``` #### 三、常见问题解决方案 1. **权限拒绝错误** *现象*:`avc: denied`日志 *解决*: - 查看审计日志: ```bash $ ausearch -m avc -ts recent ``` - 生成临时规则: ```bash $ audit2allow -a -M mypolicy $ semodule -i mypolicy.pp ``` 2. **文件上下文错误** *现象*:服务无法访问文件 *解决*: ```bash $ matchpathcon -V /path/to/file # 检查预期上下文 $ restorecon -v /path/to/file # 重置上下文 ``` 3. **进程域转换失败** *现象*:服务启动失败 *解决*: ```bash $ ps -eZ | grep process_name # 检查进程域 $ semanage permissive -a process_type_t # 临时允许 ``` [^3] 4. **容器相关权限问题** *现象*:Docker容器无法挂载卷 *解决*: ```bash $ setsebool -P container_use_devices=1 $ chcon -Rt svirt_sandbox_file_t /host/path ``` #### 四、高级调试技巧 1. **策略分析工具**: ```bash $ sesearch -A -s httpd_t -t port_type ``` 2. **沙盒测试环境**: ```bash $ sandbox -X httpd ``` 3. **策略模块开发**: ```text /usr/share/selinux/devel/ ├── example.te ├── example.fc └── example.if ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值