SELinux介绍及如何配置

原创 于 2025-08-02 13:37:41 发布 · 887 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux #入门 #运维

SELinux原理


概念

SELinux(Security-Enhanced Linux),即安全增强型 Linux,作为一款旨在强化系统安全性的 Linux 安全模块,其核心在于采用强制访问控制(Mandatory Access Control,简称 MAC)机制,以此为操作系统筑牢安全防线。

我们平日里较为熟悉的是标准的用户、组、其他 rwx 权限安全模型,这种以用户和组为基础的模型,被称作自由决定的访问控制(Discretionary Access Control,简称 DAC)。在 DAC 模式下,资源的所有者拥有绝对的决定权,能够自主决定哪些用户可以访问其资源,并且可以将相应的访问权限授予其他用户。然而,这种控制方式的层级相对较低,在那些高度定制化的安全环境中,往往难以提供足够的保护力度。

与之形成鲜明对比的是,SELinux 所采用的强制访问控制(MAC)规则,完全不受资源所有者主观意愿的影响。它通过一系列严谨的策略,对进程和用户访问资源的行为加以限制,从而为系统带来了更高级别的安全保障。


启用/禁用 SELinux


如果需要启用或禁用 SELinux,可以编辑 /etc/selinux/config 文件,并将 SELINUX 参数设置为 enforcing(启用)或 disabled(禁用)

我们也可以用命令的方式查看和更改模式。比如要确定当前的SELinux模式,运行getenforce命令。要将SELinux设置为其他模式,使用 setenforce命令

配置SELinux上下文


SELinux上下文(SELinux Context)是什么


在运行SELinux的系统上,所有进程和文件都会有相应的标签。标签代表了与安全有关的信息,称为SELinux上下文。

SELinux 上下文的格式通常是 “user:role:type”,例如 “system_u:object_r:httpd_sys_content_t”。其中,“system_u” 表示用户标识符,“object_r” 表示角色标识符,“httpd_sys_content_t” 表示类型标识符(每个对象都被赋予一个唯一的类型标识符,通过类型标识符限制了进程和资源之间的访问)。

显示文件或目录上的SELinux上下文


我们使用 ls 命令结合 -Z 选项来显示文件或目录上的 SELinux 上下文

ls -Z example.txt  #显示文件 "example.txt" 的 SELinux 上下文

ls -Zd my_directory  #显示目录 "my_directory" 的 SELinux 上下文



更改文件的SELinux上下文

在 SELinux 环境中,用于更改文件 SELinux 上下文的命令主要有三个,分别是semanage fcontext、restorecon和chcon,它们在功能和使用场景上各有不同。

chcon

chcon命令的作用是临时更改 SELinux 上下文。值得注意的是,它所做的上下文更改并不会被保存到 SELinux 上下文数据库中。这就意味着,一旦使用了restorecon命令,chcon命令之前所做的更改就会失效,无法保留下来。

semanage fcontext

若要为文件设置 SELinux 上下文,semanage fcontext命令是首选方法。使用该命令可以声明文件的默认标签,之后再搭配restorecon命令,就能将所设置的上下文应用到文件上。

semanage fcontext命令有一些常用的选项(部分),具体如下:

选项

描述

-a, --add

添加新的规则

-d, --delete

删除现有的文件规则

-l, --list

列出当前定义的文件上下文规则

-t, --type=TYPE

指定要应用的目标上下文类型

示例

假设我们搭建了一个 FTP 服务器,用于存储供用户下载的共享文件,其文件存放目录为/srv/ftp/shared,我们希望将该目录及其子目录和文件的安全上下文设置为public_content_t类型,确保 FTP 服务器能够正常访问这些文件。

首先,使用以下命令添加上下文规则:

semanage fcontext -a -t public_content_t "/srv/ftp/shared(/.*)?"

其中,-a表示添加新的规则,-t指定了要应用的目标上下文类型为public_content_t,"/srv/ftp/shared(/.*)?"是一个正则表达式,用于精准匹配/srv/ftp/shared目录以及该目录下的所有子目录和文件。

然后,使用以下命令使规则生效:

restorecon -Rv /srv/ftp/shared

这里的-R表示递归处理,会对/srv/ftp/shared目录下的所有子目录和文件逐一恢复上下文设置;-v表示显示详细的操作过程,让我们能清晰看到哪些文件的上下文被修改了。

完成上述操作后,/srv/ftp/shared目录及其包含的所有子目录和文件就都拥有了public_content_t类型的安全上下文,FTP 服务器也就能顺利访问并提供这些共享文件的下载服务了。

SELinux 简介与配置指南
IsdCoding的博客
09-30 787
安全上下文(Security Context):SELinux 为每个进程和文件对象分配一个安全上下文,该上下文由标签组成,用于标识对象的安全属性。强制访问控制(MAC):与传统的自由访问控制(DAC)不同,SELinux 使用强制访问控制来限制进程和文件对象之间的交互。SELinux Booleans:SELinux Booleans 是可以切换的开关,用于启用或禁用特定的 SELinux 功能。通过了解 SELinux 的基本概念和配置步骤,您可以更好地保护您的服务器并提高系统的安全性。
Android SELinux——策略文件配置结构(八)
最新发布
小旭的专栏
10-15 1265
在 Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
服务器SELinux配置
suchenbin的博客
08-04 668
最近遇到了SElinux配置的问题,所以简单记一下。 1、SElinux有3种模式 宽容模式(permissive):代表SELinux正在运行,并且已经正确开始限制domain/type的访问; 强制模式(enforcing):代表SELinux正在运行,不会实际限制domain/type的访问,仅有警告信息,一般调试时使用; 永久关闭(disabled):SELinux没有运行。 2...
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7668
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
Selinux配置
云梦归遥【qq_45834685】
11-03 2314
Selinux配置 selinux对于Linux系统可谓是十分重要。它的主要作用是对非超级用户和普通用户进行控制,而是对系统用户进行控制,尤其是一些服务,安装之后会默认创建一些系统用户,为了避免外部人员通过服务访问Linux系统的时候进入系统,访问到其他内容,以及限制服务的作用范围。 但是也可以对端口等作出操作,比如说修改一些著名的服务,比如说httpd的默认访问端口80为10000,避免外部恶意用户进行恶意访问等。 selinux状态: enforcing: 使用selinux强制保护系统 perm
SELinux配置
gaby0611的博客
09-07 3387
一:SELinux简介 在SELinux访问控制体系的限制下,进程只能访问那些在他的任务中所需要的文件,从而实现系统的安全性。 1:常见的读取控制机制 (1)DAC (Discretionary Access Control,任意式读取控制),每个对象都会记录一个拥有者的信息。只要是对象的拥有,就可以获得该对象的完全控制权限。DAC允许拥有者完全权限。其他需要读取该对象的时候,必须授予适当的权限。但是每个对象仅有一组拥有者的信息,如果需要更复杂的读取控制能力,必须使用ACL。ACL是DAC的延伸,.
SELinux介绍.pdf
06-22
本文档详细介绍SELinux系统,并且详细讨论了在android平台上应该如何配置SELinux规则 SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为...
android sepolicy(selinux)快速配置方法
10-29
### Android sepolicy(SELinux)快速配置方法 #### 概述 在Android系统中,Security Enhanced ...通过本文介绍的方法,开发者可以更高效地管理和优化Android应用的SELinux权限配置,从而提高系统的安全性与稳定性。
精选资源
查看SELinux状态及关闭SELinux.pdf
07-13
本文将详细介绍如何查看SELinux的状态以及如何关闭SELinux。 **一、查看SELinux状态** 在Linux系统中,我们可以使用以下两种方法来查看SELinux的状态: 1. **查看配置文件** 通过阅读`/etc/selinux/config`配置...
Selinux介绍和设置
05-27
例如,在RHEL6中实现ftp匿名上传时,可能需要修改配置文件并重启服务,然后通过字符界面提示的命令检查SELinux报错。 总的来说,SELinux是一个复杂但强大的安全工具,通过正确配置可以极大增强Linux系统的安全性。...
Selinux配置详解.pdf
12-28
Selinux的基本配置SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。
SElinux介绍配置
mogexiuluo的博客
04-18 2057
SELinux(Security-Enhanced Linux) 是(NSA)对于的实现,是 Linux历史上最杰出的新安全子系统SELinux安全增强型Linux系统,是Linux内核子系统,旨在最大限度的减少服务进程对文件、端口等资源的访问SELinux ===》提供系统防护 //内核的功能模式Firewalld ===》提供网络防护 //通过系统服务 firewalld。
linux系统之selinux设置。
热门推荐
shang_feng_wei的博客
04-20 1万+
1、SELinux SELinuxLinux 内核中提供的强制访问控制系统。selinux有disabled、permissive、enforcing 三种选择: Disabled :不启用控制系统。 permissive:开启控制系统,但是处于警告模式。即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。 Enforcing:开启控制系统,处于强制状态。一旦违反了策略,就无法继续...
selinux配置
o343196469的博客
07-08 508
null
SELINUX配置
limengshi138392的博客
04-18 792
SELINUX配置
Selinux 配置
qq_44844314的博客
06-30 664
SOC: Rk3399, Platform: Android 8.0. 一: 文件不可写,未获取到write属性。 在打印错误log中获取主要信息 denied -->需要获取的权限,name-->需要获取权限的文件,scontext-->需要配置的文件,tcontext-->文件所在路径,tclass-->文件类型。 type=1400 audit(0.0:49): avc: denied { write } for name="dwc3_mode" dev="s...
SElinux配置
在路上的学习者
01-11 655
系统版本:centos 6.5 mini查看selinux状态查看selinux的详细状态,如果为enable则表示为开启$ /usr/sbin/sestatus -v查看selinux的模式$ getenforce关闭selinux永久性关闭(这样需要重启服务器后生效)$ sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/con
selinux配置
博客
08-07 463
SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个用户、进程、应用和文件的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。 selinux有三种模式:enforcing(强制)、permissive(警告)、disabled(关闭)模式的查看与更
selinux设置
weixin_45048541的博客
12-02 467
案例1:启用SELinux保护 案例2:自定义用户环境 案例3:配置firewalld防火墙 1 案例1:启用SELinux保护 1.1 问题 本例要求为虚拟机 server0、desktop0 配置SELinux: 确保 SELinux 处于强制启用模式 在每次重新开机后,此设置必须仍然有效 1.2 方案 SELinux,Security-Enhanced Linux:是由美国NSA国家安全局提...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值