SELinux

最新推荐文章于 2023-08-27 08:22:23 发布
原创 最新推荐文章于 2023-08-27 08:22:23 发布 · 680 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #selinux

SELinux

访问控制

DAC

  • DAC:Discretionary Access Control,自主访问控制
  • 依据进程的所有者与文件资源的rwx权限来决定有无访问权限
  • DAC针对用户,对用户进行访问控制
  • 缺点:
    • root有最高权限无法限制
    • r,w,x权限划分太宽泛,无法针对不同的进程实现限制

MAC

  • MAC:Mandatory Access Control,强制访问控制
  • 依据策略规则决定进程可以访问哪些文件
  • MAC针进程,对进程进行访问控制
  • 优点:
    • 即使是root用户,在使用不同进程时,所能取得的权限并不一定是root,需要看当时进程的设置而定
    • 即使不小心httpd被取得了控制权,也无权浏览/etc/shadow等重要的文档

SELinux介绍

  • SELinux:Security-Enhanced Linux)安全增强型linux,是美国国家安全局(NSA)开发,用于实现强制访问控制(MAC)
  • selinux用于限制进程对系统中文件及目录的访问
  • 被设计成内核模块包含到linux内核中
  • SELinux提供一些默认的策略(Policy), 并在该策略内提供多个规则(rule),让用户可以选择是否启用该控制规则
  • selinux策略模式
[root@server1 ~]# cat /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of disabled.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted
模式中文说明
enforcing强制模式违反SELinux规则的行为将被阻止并记录到日志中
permissive宽容模式违反SELinux规则的行为只会记录到日志中,一般为调试用
disabled关闭模式关闭SELinux

SELinux使用

  • 基本使用
配置文件
[root@server1 ~]# cat /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of disabled.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted 

开启selinux
[root@server1 ~]# sed -i 's/SELINUX=disabled/SELINUX=enforing/' /etc/selinux/config 

重启系统(不然selinux不生效)
[root@server1 ~]# reboot

查看selinux的模式
[root@server1 ~]# getenforce 
Permissive

命令行设置selinux的模式(0为permissive;1为enforing)
[root@server1 ~]# setenforce 1
[root@server1 ~]# getenforce 
Enforcing

查看文件selinux规则
[root@server1 ~]# touch file1
[root@server1 ~]# ll -Z file1 
-rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 file1

查看进程selinux规则
[root@server1 ~]# ps -efZ |grep httpd
system_u:system_r:httpd_t:s0    root       1565      1  0 14:58 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     1567   1565  0 14:58 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     1568   1565  0 14:58 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     1569   1565  0 14:58 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     1570   1565  0 14:58 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
  • 当开启selinux时,网卡中配置的域名解析会失效,需要在/etc/resolv.conf文件中配置
[root@server1 ~]# ping www.baidu.com
ping: www.baidu.com: 未知的名称或服务
[root@server1 ~]# vim /etc/resolv.conf 
[root@server1 ~]# cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver 114.114.114.114
[root@server1 ~]# ping www.baidu.com
PING www.a.shifen.com (112.80.248.75) 56(84) bytes of data.
64 bytes from 112.80.248.75 (112.80.248.75): icmp_seq=1 ttl=128 time=9.42 ms
64 bytes from 112.80.248.75 (112.80.248.75): icmp_seq=2 ttl=128 time=9.50 ms
^C
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 9.421/9.463/9.506/0.106 ms
  • 当开启selinux时,修改http的端口,会导致不能重启httpd服务
端口改为8090
[root@server1 ~]# vim /etc/httpd/conf/httpd.conf 
[root@server1 ~]# cat /etc/httpd/conf/httpd.conf |grep Listen |grep -v '^#'
Listen 8090
[root@server1 httpd]# systemctl restart httpd.service 
Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details.

重新改回80
[root@server1 ~]# cat /etc/httpd/conf/httpd.conf |grep Listen |grep -v '^#'
Listen 80
[root@server1 ~]# systemctl restart httpd.service
[root@server1 ~]#
  • 基于selinux有很多坑,建议将selinux永久关闭
[root@server1 ~]# setenforce 0
[root@server1 ~]# sed -i 's/SELINUX=enforing/SELINUX=disabled/' /etc/selinux/config
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7655
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
SELinux SELinux SELinux
09-14
SELinux(Security-Enhanced Linux)是一个安全模块,它提供了对Linux操作系统上的强制访问控制(MAC)架构的支持。SELinux的主要目的是减少操作系统和应用程序中的安全漏洞,增强系统的安全性。SELinux的工作原理是...
SELinux配置
gaby0611的博客
09-07 3384
一:SELinux简介 在SELinux访问控制体系的限制下,进程只能访问那些在他的任务中所需要的文件,从而实现系统的安全性。 1:常见的读取控制机制 (1)DAC (Discretionary Access Control,任意式读取控制),每个对象都会记录一个拥有者的信息。只要是对象的拥有,就可以获得该对象的完全控制权限。DAC允许拥有者完全权限。其他需要读取该对象的时候,必须授予适当的权限。但是每个对象仅有一组拥有者的信息,如果需要更复杂的读取控制能力,必须使用ACL。ACL是DAC的延伸,.
Linux文件,目录权限管理
lyzzs222的博客
08-16 2545
Linux下文件和目录都有相应的权限,权限规定了普通用户的行为。约束了普通用户,但是约束不了rootroot不是普通用户。本文主要讲解文件,目录权限的意义,以及如何修改。先看看下面两图,方便后面学习。...
如何配置selinux
dingdufan1942的博客
07-04 389
参考命令: 一、开启/关闭selinux getenforce:查看selinux运行状态 setenforce 0 :关闭selinux setenforce 1 :开启selinux 系统启动时默认开启或关闭编辑文件/etc/selinux/config进行设置 enforcing 开启 disabled 关闭 permis...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
SELinux Notebook 是一本关于 SELinux 的开源书籍,最初由 Richard Haines创建并捐赠给 SE
01-15
SELinux Notebook 是一本关于 SELinux 的开源书籍,最初由 Richard Haines创建并捐赠给 SELinux 社区。该笔记本的目标是成为有关 SELinux 的最新、最全面的书籍,涵盖 Linux 内核组件、用户空间库和工具、策略工具链...
selinux-policy-3.14.3-80.el8_5.2.tar.gz
最新发布
08-19
selinux-policy-3.14.3-80.el8_5.2.tar.gz是一个适用于CentOS 8操作系统的软件包,它包含了安全增强型Linux(SELinux)的安全策略。SELinux是一个Linux内核安全模块,提供了对访问控制安全策略的支持。该模块的核心...
精选资源
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
selinux限制linux程序运行,应用SELinux中的目标策略限制进程运行
weixin_36053084的博客
05-06 841
一、安装SELinux相关的安装包虽然在有的Linux发行套件中已经缺省安装了SELinux(例如Fedora 10和Red Hat Enterprise Linux 5、6),然而用户还是需要了解具体安装SELinux所需要的安装包,下面对他们进行简要介绍,主要包括如下几个部分:Policycoreutils:提供与SELinux相关的命令,比如semanage,restorecon,audit...
selinux限制linux程序运行,SELinux进阶篇 应用目标策略管理非限制进程和用户
weixin_30895059的博客
05-06 583
非限制的进程运行在非限制域中。比如,init进程运行在非限制的initrc_t域中,非限制的kernel进程运行在kernel_t域中,非限制的用户运行在unconfined_t域中。对于非限制的进程,SELinux策略规则仍然适用...一、管理非限制进程非限制的进程运行在非限制域中。比如,init进程运行在非限制的initrc_t域中,非限制的kernel进程运行在kernel_t域中,非限制的...
selinux限制linux程序运行,selinux 不限制nginx
weixin_36231529的博客
05-06 374
当安装完nginx后,配置正确后,有时候会发现nginx转发却不起作用,并出现如下界面404 Not Foundnginx/1.12.1这个时候,可以考虑一下是否是selinux限制了访问。查看selinux状态[root@localhost conf.d]# sestatusSELinux status: enabledSELinuxfs mount: ...
Linux文件和目录访问权限设置
热门推荐
HAIFU_XU
11-19 1万+
一、文件和目录权限概述   在linux中的每一个文件或目录都包含有访问权限,这些访问权限决定了谁能访问和如何访问这些文件和目录。   通过设定权限可以从以下三种访问方式限制访问权限:只允许用户自己访问;允许一个预先指定的用户组中的用户访问;允许系统中的任何用户访问。同时,用户能够控制一个给定的文件或目录的访问程度。一个文件活目录可能有读、写及执行权限。当创建一个文件时,系统会自动地赋予文
Linux文件及root的访问权限
2301_77284388的博客
08-27 2667
比如,Ubuntu上可以把某个用户加入 sudo 这个组, 既可以拥有 任何地方、以任何账号的权限、运行任何程序 的能力。第5-7字符"r-x" 表示此文件所归属的root组内的用户对此文件的操作权限是"可读、不可写、可执行",系统管理员经常使用chown命令,在将文件拷贝到另一个用户的名录下之后,让用户拥有使用该文件的权限.Linux系统需要为每个文件和目录,指定这个三种类型的用户,具有什么r、w、x里面的哪些权限。哪些用户(或者哪些组里面的用户) ,在什么地方, 以 哪些账号的权限 , 运行哪些程序。
seliux(类似防火墙,限制root用户)
datiewen9424的博客
10-21 135
注:如果在开发是不设置关闭,可能会出现很多不在预期内的效果   路径:/etc/selinux/config   *修改(修改时拷贝对照) (拷贝):cp /etc/selinux/config /etc/selinux/config.qe (替换):sed -i "s#SELINUX=enforing#SELINUX=disabled#g" /etc/selinux/confi...
Linux系统控制文件和目录权限
liuhyusb的博客
07-31 553
并非操作系统的每个用户都应具有相同级别的文件和目录访问权限,与任何专业操作系统一样,Linux具有保护文件和目录访问的方法。系统允许系统管理员(root用户或文件所属用户)通过赋予用户读取,写入或执行文件的权限来保护其文件免受不必要的访问或篡改。对于每个文件和目录,我们可以为文件所属用户、同组用户以及其他用户指定权限状态,这在多用户操作系统中是必要的。
linux限制root用户访问权限,Linux中限制用户访问权限的3种方法
weixin_36325879的博客
04-28 3696
现在需要限定某个用户对特定目录/文件的访问权限,或者把某个用户的访问范围限制在某个目录/文件中。现实情况下,还是能遇到这样的需求的,比如说ubuntu下有多个可登录用户,默认情况下,用户A的工作目录(一般为/home/A)对任何其他用户来说都是可读的,但是用户A可能不希望其他用户(或者某个特定用户)读取A的文件。这里提出三个解决方案。第一种:使用chmod更改特定目录的权限。这能起到限制特定目录被...
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 2529
在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
selinux
05-23
### SELinux 配置概述 SELinux(Security-Enhanced Linux)是一种强制访问控制系统,旨在通过更精细的权限管理来提高系统的安全性。它不仅依赖于传统的 DAC(Discretionary Access Control),还引入了 MAC(Mandatory Access Control)。这种双重验证机制确保只有经过明确授权的操作才能被执行。 #### SELinux 的三种模式 SELinux 支持三种运行模式: 1. **Enforcing**:这是默认模式,在此模式下,SELinux 执行所有的安全策略并记录任何被拒绝的动作。 2. **Permissive**:在此模式下,SELinux 不会阻止任何操作,但它会记录违反策略的行为以便调试和分析。 3. **Disabled**:完全禁用 SELinux 功能[^1]。 可以通过 `getenforce` 命令查看当前 SELinux 运行模式,并使用 `setenforce` 切换模式(仅限临时更改)。永久修改需编辑 `/etc/selinux/config` 文件中的 `SELINUX=enforcing|permissive|disabled` 参数[^3]。 --- ### SELinux 配置方法 #### 1. 查看 SELinux 当前状态 要检查 SELinux 是否启用以及其当前模式,可执行以下命令: ```bash sestatus ``` #### 2. 修改文件或目录的安全上下文 SELinux 使用安全上下文标记文件、目录和其他对象。如果某些应用程序无法正常工作,可能是因为它们缺少正确的安全上下文。可以使用 `ls -Z` 查看文件的安全上下文,并使用 `chcon` 或 `restorecon` 更改这些上下文。 例如,恢复某个目录的标准安全上下文: ```bash restorecon -R /var/www/html/ ``` #### 3. 创建自定义策略模块 对于复杂场景下的需求,可能需要创建自定义策略模块。以下是基本流程: 1. 记录审计日志中因 SELinux 而受阻的操作: ```bash grep AVC /var/log/audit/audit.log | audit2allow -m mymodule > mymodule.te ``` 2. 编译生成的 `.te` 文件为二进制模块: ```bash checkmodule -M -m -o mymodule.mod mymodule.te semodule_package -o mymodule.pp -m mymodule.mod ``` 3. 加载新编写的策略模块至系统中: ```bash semodule -i mymodule.pp ``` 以上过程能够有效扩展 SELinux 默认行为以适应特定业务环境的要求[^1]。 --- ### 常见问题及解决方案 #### 问题一:Web 服务无法读取指定路径的数据 原因可能是目标数据未分配给 web 应用所需的安全上下文标签。尝试重新设定相关联的内容属性即可解决问题: ```bash chcon -t httpd_sys_content_t /path/to/data ``` 或者利用工具自动修复整个树形结构内的所有项目: ```bash restorecon -Rv /path/to/data ``` #### 问题二:数据库客户端连接失败 当 MySQL 数据库或其他类似的后台服务遇到认证错误时,应核查是否由于 SELinux 导致通信障碍。调整布尔值参数或许能缓解此类状况: ```bash setsebool -P allow_httpd_mod_auth_pam on ``` #### 问题三:邮件传输代理 (MTA) 出现异常 Postfix 等 MTA 工具可能会因为缺乏适当许可而崩溃。确认是否有足够的权利去处理队列里的消息包件: ```bash semanage permissive -a postfix_master_t ``` 每种情况都需要具体分析对应的 AVCS 条目,从而采取针对性措施加以修正[^2]。 --- ### 结论 通过对 SELinux 正确配置与维护,可以在保障灵活性的同时极大提升操作系统层面防护水平。尽管初期学习曲线较陡峭,但从长远来看收益显著。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值