Linux(27)—— SELinux 上下文及布尔值

于 2025-04-03 15:22:10 发布
阅读量1k 收藏 24
点赞数 32
分类专栏: Linux 文章标签: 运维 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_68756914/article/details/146770436
版权

目录

 一、SELinux 文件上下文:

1、文件标签策略数据库:

2、策略访问规则:

二、设置上下文:

1、查看 SELinux 上下文:

(1)ls -Z :

(2)ls -Zd :

2、更改 SELinux 上下文:

(1)semanage fcontext + restorecon 命令:

(2)chcon 命令:

3、定义 SELinux 默认上下文:

三、SELinux 布尔值:

四、使用布尔值调整 SELinux 策略:

1、普通用户:

2、超级用户:

(1)semanage boolean -l 命令:

(2)setsebool -P 命令:

        本篇文章只讲述有关 SELinux 文件上下文及布尔值的内容,如需了解有关 SELinux 的基本概念、执行模式以及如何解决 SELinux 问题的内容,可转跳至 Linux 系列的上篇文章:Linux(26)—— SELinux 概念及故障排除。

        转跳链接如下:https://blog.youkuaiyun.com/m0_68756914/article/details/146768024

 一、SELinux 文件上下文:

        在运行 SELinux 的系统上,所有进程和文件都有相应的标签,代表了与安全有关的信息,称为 SELinux 上下文( SELinux context )。

1、文件标签策略数据库:

        SELinux 在 /etc/selinux/targeted/contexts/files/ 目录中维护基于文件的文件标签策略数据库。新文件在文件名与现有标签策略匹配时获得默认标签。

注:(1)新文件通常从父目录继承其 SELinux context(mv 或 cp -a 除外);

       (2)移动的文件保留其原始标签,复制的文件将继承目标目录的标签。

2、策略访问规则:

        Web 服务器的 type context 是 httpd_t。策略规则允许 Apache 访问标记了 httpd_sys_content_t 类型上下文的文件和目录,且默认情况下,Web 服务器策略没有使用标有 tmp_t 的文件的 allow 规则(如 /tmp 和 /var/tmp 目录),因此不允许访问。在启用 SELinux 的情况下,破坏了 Web 服务器进程的恶意用户将无法访问 /tmp 目录。

注:1)位于 /var/www/html 中的文件和目录的 type context 是 httpd_sys_content_t ;

       2)位于/tmp 和 /var/tmp 中的文件和目录 type context 是 tmp_t ;

       3)Web 服务器端口的 type context 是http_port_t 。

        MariaDB 服务器进程使用 mysqld_t 类型上下文运行。默认情况下,在 /data/mysql 目录中的文件具有 mysqld_db_t 类型的 type context,该 type context 允许 MariaDB 访问这些文件,但禁止其他服务(如: Apache 服务、标有 httpd_sys_content_t 的文件)的访问。

二、设置上下文:

        许多命令都使用 -Z 选项 来显示或设置 SELinux context 。例如,ps 、ls 、cp 和 mkdir 命令都使用 -Z 选项。

1、查看 SELinux 上下文:

(1)ls -Z

        ls -Z 命令可显示文件的 SELinux context 。

(2ls -Zd

        ls -Zd 命令可显示目录的 SELinux context。

2、更改 SELinux 上下文:

(1)semanage fcontext + restorecon 命令:

        先使用 semanage fcontext 命令可创建文件上下文策略。

        然后使用 restorecon 命令该策略中指定的上下文应用于文件

(2)chcon 命令:

        chcon 命令直接在文件上更改 SELinux context ,不引用系统的 SELinux 策略。且此命令不会将 context 更改保存到 SELinux context 数据库中,因此运行 restorecon 命令后上下文将还原。

3、定义 SELinux 默认上下文:

        semanage fcontext 命令可显示和修改文件默认的上下文策略

注:fcontext 规则中最常用的扩展正则表达式是 (/.*)? ,表示一个以斜杠开头后跟任意数量字符的字符集,此集合可以存在可以不存在。

        semanage fcontext 命令的选项如下表:

                  选项       描述

             -a 、--add

   添加指定对象类型的记录

           -d 、--delete

   删除指定对象类型的记录

              -l 、--list

   列出指定对象类型的记录

三、SELinux 布尔值:

        开发人员可以在 SELinux 策略中包含可选的应用行为,当特定系统允许相关行为时启用该策略。SELinux 布尔值可以启用或禁用 SELinux 策略的可选行为,有选择的调整应用的行为。

        这些可选行为是特定于应用的,必须为各个目标应用发现和选择。如需了解服务相关的布尔值,可参阅该服务的 SELinux man page ( SELinux man page 在 selinux-policy-doc 软件包中提供)。

注:例如,Web 服务器 httpd 服务有其 httpd(8) man page ,以及用于记录其 SELinux 策略的 httpd_selinux(8) man page ,包括支持的进程类型、文件上下文以及可用的布尔值。

四、使用布尔值调整 SELinux 策略:

1、普通用户:

        普通用户可以运行 getsebool 命令激活和停用 SELinux 策略规则

2、超级用户:

(1)semanage boolean -l 命令:

        超级用户可运行 semanage boolean -l 命令管理 SELinux 布尔值的持久值

        运行 semanage boolean -l -C 命令可列出当前状态与默认状态不同的布尔值

(2)setsebool -P 命令:

        超级用户还可以运行 setsebool -P 命令写入策略文件,使设置持久有效。

linux 就该这么学》第十章 学习总结 semanage经验
weixin_44603568的博客
06-08 479
第十章 主要讲了Apache基于ip,基于端口号,基于域名的三种部署方式。但是其中都参杂着selinux这个重点却不去讲。经过我不断的查资料与实践,我将我对selinux的心得写在这里。
linux——selinux强制访问,监控selinux冲突,修改http服务的端口标签
weixin_44233369的博客
01-25 1973
一.selinux #内核级的加强型防火墙 #针对文件的时候,会对系统中每个文件添加安全上下文 #针对进程的时候,会对系统中每个进程添加安全上下文 selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 seli...
SELinux-Booleans(布尔值)参数详解与案例演示
最新发布
HJKHUKB的博客
12-09 842
selinux,getsebool,setsebool,semanage使用,举例,httpd服务的策略中的【httpd_enable_homedirs】,演示selinux布尔值使用
使用SELinux布尔值
wjyph的博客
08-03 3057
已经探讨过文件访问时AVC拒绝。当经常使用SELinux会发现,有些活动按理应该被允许,却被拒绝了。当有些原因是依据某些因素(选择),将推荐SELinux策略作者将策略设置为可选的。SELinux中可选意味着访问权限通过SELinux布尔值触发。 SELinux布尔值是一个字符串(可赋予具体含义)来改变SELinux发挥作用。使用getsebool工具可以显示布尔值列表和当前值。 root #
Linux shell编程学习笔记12:布尔运算和逻辑运算
Purpleendurer@优快云
10-14 1156
Linux Shell 脚本编程和其他编程语言一样,支持算数、关系、布尔、逻辑、字符串、文件测试等多种运算。前面几节我们陆续研究了 Linux shell编程 中的 字符串运算、算术运算和关系运算,今天我们来研究 Linux shell编程中的的布尔运算、逻辑运算。
Shell 基本运算符
mysql数据库高级运维--痞子胡
03-28 212
Shell 基本运算符 Shell 和其他编程语言一样,支持多种运算符,包括: 算数运算符 关系运算符 布尔运算符 字符串运算符 文件测试运算符 原生bash不支持简单的数学运算,但是可以通过其他命令来实现,例如 awk 和 expr,expr 最常用。 expr 是一款表达式计算工具,使用它能完成表达式的求值操作。 例如,两个数相加(注意使用的是反引号 而不是单引号 '): vi test1.sh #! /bin /bash val =expr 2+2` echo “他们的和是:$val” -----&
Selinux 安全上下文与端口控制
lovely_nn的博客
05-25 1388
设置 selinux 的安全上下文、开放服务相关端口、以 httpd 服务为例
牛!内核级加强防火墙——SElinux
weixin_42446031的博客
02-09 246
什么是SElinuxSELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传...
SELinux安全上下文查看方法(超详细)
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 1173
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# l...
Linux系统之SeLinux服务
bread_winner的博客
08-11 854
Selinux是什么   Selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ;     Selinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有一个安全标签(即selinux上下文)进行区分,只有对应的标签才能允许访问,否则即使权限是777,也是不能访问的。    ...
selinux= 为 disabled_Selinux安全加固
weixin_39782752的博客
11-26 1564
Selinux介绍SELinux:Security-Enhanced Linux, 是美国国家安全局(NSA=TheNational Security Agency)和SCC(Secure ComputingCorporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布, Linux内核版本后集成在内核中DAC:Discretionary Acces...
linux 文件添加标签,SELinux——有趣的标签
weixin_29131709的博客
04-29 2109
·配置SELinuxSELinux是否启用给文件重新打标给端口设置安全标签设定某些操作的布尔型特性SELinux的日志管理1、SELinux的状态:·enforcing:强制,每个受限的进程都必然受限·permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志·disabled:关闭·相关命令:sestatus查看selinux的状态getenforce:获取当前seli...
linux系统bool类型,C 语言之布尔类型介绍
weixin_33617670的博客
05-15 439
在C语言标准(C89)没有定义布尔类型,所以C语言判断真假时以0为假,非0为真。所以我们通常使用逻辑变量的做法: //定义一个int类型变量。C 语言标准(C89) 没有定义布尔类型,如果你使用 true 和 false,会出现以下错误:infinite.c:5:12:error:useofundeclaredidentifier'true'while(true){1error...
Linux】bool的使用
编程记录,亲测有效
12-23 1万+
一些你认为理所当然的东西,在LinuxC中不是说用就用,例如bool布尔型由于其C语言标准古老,就像如下一段,利用函数返回值判断是否正数,很平常的代码: #include bool is_positive(int num){ if(num>0){ return true; } else{ return false; } } int main(){ int num=1; if(
SELinux入门:了解和配置SELinux semanage
洪文聊架构
12-24 8262
几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。   SELinux 与强制访问控制系统     SELinux 全称 Security Enhanced Linux (安全强化
selinux控制命令semanage
chouzhi7161的博客
07-12 898
命令semanage 软件: policycoreutils-python 用途: SELinux策略管理工具 语法: ]# semanage 位置参数 选项 位置参数: fcontext 管理文件安全上下文的映射 boolean ...
Shell布尔运算
热门推荐
小菜鸟上校的专栏
09-21 3万+
Shell中的bool运算
semanage使用详解
weixin_33843409的博客
07-03 1270
semanage使用详解 NAME semanage - SELinux Policy Management tool SYNOPSIS Output local customizations:导出selinux当前策略 semanage [ -S store ] -o [ output_file | - ] Input local customi...
Red Hat Enterprise SELinux策略管理与实践
"RHS429 Red Hat Enterprise SELinux Policy Administration 教程详细介绍了如何管理和配置Red Hat Enterprise Linux中的强制访问控制(MAC)系统——SELinux。本教程旨在帮助IT专业人员理解并掌握SELinux的安全模型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值