增加SELinux TE 规则方法

最新推荐文章于 2025-09-12 15:25:56 发布
原创 最新推荐文章于 2025-09-12 15:25:56 发布 · 1.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

本文详细指导如何通过一系列步骤来诊断和修复SELinux权限问题,包括禁用审计、检查日志、生成并应用TE规则。适合系统管理员和开发者了解和处理SELinux权限相关问题。

增加SELinux TE 规则方法

  1. 执行semanage dontaudit off。因为有时审计日志打印的不全。

  2. 判断是不是因为selinux权限导致的问题。打开selinux,命令无法执行;关闭selinux,命令可以执行,则可以确定是selinux的问题。

  3. 执行setenforce 0,关闭selinux。

  4. tail -f /var/log/audit/audit.log,再执行相应的命令。这样可以只获取在这个命令执行期间出现的AVC日志,在加权限的时候要保证最小权限。

  5. 将第4步中的命令执行期间出现的日志保存到文件中,比如test_log。

  6. 生成te规则:audit2allow -i test_log > test.te。生成的te规则可以直接添加到selinux-policy相关模块的te规则中。

  7. 生成pp文件: audit2allow -i test_log -M test。

  8. 安装第7步中生成的pp文件: semodule -i test.pp。

  9. 验证是否解决了此命令的权限问题:打开selinux,然后再执行命令,看是否正常执行。

  10. 如果第9步无法正常执行,则跳到第3步,重做第3步和第9步之间操作,直到命令可以正常执行。

Android SELinux——neverallow问题处理(十六)
小旭的专栏
10-22 2176
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统对 SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反了 neverallow 规则,编译时候会报 neverallow 相关的错误。
Linux系统之SELinux详解
weixin_56303229的博客
03-03 2875
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程和用户只能执行那些被明确允许的操作。
SELinux 策略文件编写
最新发布
w2064004678的博客
09-12 783
在my_app.te文件中,我们首先声明模块并定义新的类型# 声明策略模块名称# 定义进程域类型# 你的应用程序进程将运行在这个域中# 初始域:当系统启动时,由 init 启动的进程的初始上下文# 定义用于 /opt/my_app 目录及其文件的类型# 定义用于日志文件的类型:声明模块名为my_app,版本为1.0:定义一个新类型my_app_t,用于我们的应用程序进程域:这是一个宏,它做了很多事情:○ 它告诉 SELinux,由init系统启动的、类型为的可执行文件,应该转换到。
SELinux规则添加进阶
Ryan ZHENG的专栏
07-26 2115
在上一篇中,我们已经了解了一个常规`avc denied`日志信息该如何应对。当时挖的两个坑,今天来填一下: - 添加的SELinux规则是否存在权限放大; - 添加的SELinux规则是否触犯neverallow; 实际上,这是一类问题,今天正好遇到了对应的需求,就以此为例,进行以下介绍:...
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7646
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
SELinux学习总结 (Ubuntu)
帅不啦叽斯基的博客
03-24 6067
SELinux (Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制系统。
rhel5 selinux添加规则问题
风雨兼程
07-17 1307
以前都在rhel4.x版本上操作,遇到selinux引起的问题,解决方法比较简单:从安装光盘里找到 :selinux-policy-targeted-sources-*.noarch.rpm (*表示的是版本号,要和本机已经安装的SElinux版本相同)然后:#cd /etc/selinux/targeted/src/policy#audit2allow -d
设置SElinux规则
CSTG_bigCup的博客
07-26 422
getsebool 查看规则对应的bool值 ex: getsebool httpd_enable_homedirs setsebool 设置规则的bool值 ex: setsebool -P http_enable_homedirs 1 -P表示将修改写进配置文件中 ...
节点增加selinux权限
arunboy的博客
02-15 2512
1,修改路径为: Android11_alpha/vendor/XXX/product/mt9615_r/common/device/sepolicy/ 2,修改文件 modified: device.te modified: file_contexts modified: XXXXXXX.te 3,修改内容 device.te里面添加一个标签 type demura_spi_device, dev_type; file_contexts里面添加节点 /dev/spidev0.0
SELinux策略语言--类型强制 编写TE规则
qq_44884706的博客
04-12 517
SELinux策略语言--类型强制 编写TE规则
简述Android中SELinuxTE
01-04
一、SELinux资源访问基本概念  SELinux使用类型强制来改进强制访问控制。所有的主体(程序进程)对客体(文件/socket等资源)的访问都有一条TE规则来许可。当程序访问一个资源的时候,系统会搜索所有的TE规则集,并根据结果进行处理。这个规则集是由访问向量规则(AV, Access Vector)来描述的。 内核向外部暴露允许访问的资源权限,由TE来描述主体拥有什么样的访问权。SELinux定义了30个不同的客体类别: security process system capability filesystem file dir fd lnk_file chr_file blk_fi
关于 selinux 规则
qq_57093716的博客
03-06 441
selinux 简单了解,一般开局直接关闭
android selinux权限添加
weixin_46027271的博客
01-15 3619
本文基于Android10版本举例介绍selinux的添加方法
Linux Selinux机制
四儿家的小祖宗的博客
03-22 1108
主要介绍linux selinux机制,另举例解释如何添加selinux规则
SELinux
2302_77791905的博客
04-02 1212
SELinux,即 Security-Enhanced Linux,意为安全强化的 Linux,由美国国家安全局(NSA)主导开发。开发初衷是防止系统资源被误用。在 Linux 系统中,系统资源的访问均通过程序进行。例如,当/var/www/html/目录的权限被设置为 777 时,所有程序都能访问该目录。若此时 Web 服务器软件已启动,其触发的进程便可以写入该目录,而该进程面向整个互联网提供服务,存在安全风险。
selinux权限添加总结
风和先行的专栏
10-20 654
selinux修改方案总结
SELinux策略语言--编写TE规则
u014674293的博客
08-02 1229
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
如何增加selinux权限
01-22
### 修改或增加 SELinux 权限配置 #### 了解 SELinux 模式 SELinux 提供两种主要的操作模式:Permissive 和 Enforcing。在 Permissive 模式下,违反安全策略的行为会被记录下来但不会被阻止;而在 Enforcing 模式下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值