selinux 操作详解

最新推荐文章于 2025-05-18 20:18:46 发布
最新推荐文章于 2025-05-18 20:18:46 发布
阅读量734 收藏 1
点赞数

1. 查看SELinux状态

1.1 getenforce

getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。
setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效

[root@localhost ~]# getenforce
Enforcing

1.2 /usr/sbin/sestatus

Current mode表示当前selinux防火墙的安全策略

[root@localhost ~]# /usr/sbin/sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28


SELinux status:selinux防火墙的状态,enabled表示启用selinux防火墙
Current mode: selinux防火墙当前的安全策略,enforcing 表示强

2. 关闭SELinux

2.1 临时关闭

setenforce 0 :用于关闭selinux防火墙,但重启后失效。

[root@localhost ~]# setenforce 0
[root@localhost ~]# /usr/sbin/sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

2.1 永久关闭

修改selinux的配置文件,重启后生效。打开 selinux 配置文件,修改 selinux 配置文件,将SELINUX=enforcing改为SELINUX=disabled,保存后退出。

[root@localhost ~]# vim /etc/selinux/config


# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted


此时获取当前selinux防火墙的安全策略仍为Enforcing,配置文件并未生效。

[root@localhost ~]# getenforce
Enforcing


重启

[root@localhost ~]# reboot


验证

root@localhost ~]# /usr/sbin/sestatus
SELinux status:                 disabled


[root@localhost ~]# getenforce
Disabled

 

peter-zou
关注
常用的SELinux操作
锐意工作室
02-05 711
文章目录常用的SELinux操作前言查看SELinux状态关闭SELinux重新打SELinux标签开启非常规端口开启或关闭安全特性开关参考文档 常用的SELinux操作 前言 本文描述了在CentOS8上的常用SELinux操作。 查看SELinux状态 安装CentOS后,默认SELinux是开启状态。 # 查看SELinux状态 getenforce # 查看SELinux状态的详细信息 sestatus 说明: SELinux在命令中的缩写为se,通过man -k 'selinux' 搜索S
linux之selinux
weixin_45674039的博客
10-29 211
什么是selinux > selinux是一种控制服务安全,是内核上面的一个插件,也叫做内核加强型火墙 SELinux(Security-Enhanced > Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 > NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中...
SELinux的策略规则
haohaoxuexiyai的博客
02-21 5011
目录一、SELinux Targeted、MLS和Minimum策略Target 策略MLS 策略Minimum 策略二、SELinux策略规则查看方法(seinfo和sesearch)三、SELinux策略规则的开启和关闭查询策略规则是否开启修改规则的开启状态SELinux导致vsftpd不能正常登录 一、SELinux Targeted、MLS和Minimum策略 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型
【Linux】第十九章 管理SELinux安全性
最新发布
2302_79952574的博客
05-18 1195
自由决定的访问控制(DAC)即大多数 Linux 管理都熟悉的标准的用户、组和全局文件权限安全模型,它的特点是资源的拥有者可以随意修改或授予此资源相应的权限。强制访问控制(MAC)通过强制实施访问控制策略来提高系统的安全性。与自由决定的访问控制(DAC)不同,MAC不允许用户随意更改访问权限,而是基于系统定义的策略进行访问控制。虽然它更安全,但也更复杂,需要精确配置和管理。MAC 在高安全性环境中非常重要,能够有效防止数据泄漏、滥用和恶意攻击。
linux下selinux介绍及相关命令操作
会飞的鱼的博客
05-11 3607
selinux是什么?SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是一种基于域-类型模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中。传统的Linux权限控制采用自主式权限控制(Discretionary Access Control, DAC),依据程序拥有者和资源的...
分享常见selinux相关命令
learnframework的博客
05-23 1270
SELinux出现之前,Linux上的安全模型叫DAC,全称是Discretionary Access Control,翻译为自主访问控制。DAC的核心思想很简单,就是:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。显然,DAC太过宽松了,所以各路高手想方设法都要在Android系统上搞到root权限。那么SELinux如何解决这个问题呢?
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
SELinux 入门详解
01-09
SELinux,全称为Security Enhanced Linux,是Linux操作系统中一种强制访问控制(MAC)架构,旨在增强系统的安全性。自Kernel 2.6版本起,SELinux由美国国家安全局(NSA)开发并贡献给Linux社区,它弥补了自主访问...
Linux系统之SELinux详解
weixin_56303229的博客
03-03 2514
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程和用户只能执行那些被明确允许的操作
selinux_详解.zip
08-09
SELinux的目标是防止恶意攻击者即使获得了系统权限也无法任意操作系统资源,从而保护系统免受未经授权的访问和潜在的危害。 **核心概念** 1. **策略(Policy)**:SELinux的核心是其策略,它定义了系统中的各种...
SELinux和getenforce命令
weixin_70790602的博客
04-28 1699
SELinux安全增强型Linux系统,他是一个Linux内核模块,也是Linux的一个安全子系统。主要作用就是最大限度地减小系统中服务进程可访问的资源。状态分为以下三种:下面是Linux getenforce命令的使用方法Enforcing。
selinux的使用
static_route的博客
04-14 477
概念介绍 selinux是linux中的安全管理软件,集成到内核中,它可以对进程进行文件资源的访问控制MAC(委托访问控制),比传统的DAC(自动访问控制,rwx)具有更细粒度的访问控制。 概念如下: 主体(subject):进程 目标(object):文件系统 策略(policy):策略有很多规则,规则里面定义了许多进程的安全上下文的域到文件系统的安全上下文的type访问权限 安全上...
SELinux的基础知识
09-22 552
SELinux(Security-Enhanced Linux) 一、常见的读取控制机制 1. DAC (Discretionary Access Control: 任意式读取控制)       在DAC架构下,每一个对象都会记录一个拥有者的信息,只要是对象的拥有者,就可以获得对该对象完整控制的能力。传统的Unix系统提供的安全机制,就是操作DAC的思维。     
Linux服务器---关闭selinux
weixin_30444105的博客
11-19 190
关闭selinux 1、通过命令“getenforce”获取selinux状态, [root@localhost ~]#getenforce Enforcing//enforceing代表开启, [root@localhost ~]#getenforce Permissive// permissive代表警告 [root@lo...
SELinux介绍
热门推荐
内核工匠
06-04 1万+
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Po...
selinux 基础知识
weixin_65785894的博客
05-01 1234
SElinux的以策略规则指定特定程序读取特定文件:属于强制访问控制MAC(Mandatory access control)可以争对特定的进程与特定的文件资源来进行权限的控制,即使你是root在使用不同的进程时,你所能取得的权限并不一定时root,而使你时root在使用不同的进程时,你所能取得的权限并不一定是root,而得要看当时该进程得设置而定,则就可以针对进程来进行访问控制。例如,电脑上下载了一个美图软件,当你使用的时候,你却不知道,它在后台默默监听这浏览器中输入密码信息。
2019/02/26 SELinux02
qq_42227818的博客
09-29 192
targeted放了关于selinux的信息,比如安全上下文 default_type 默认类型,systemd_contexts 安全上下文 角色:类型(什么样的角色生成什么样的文件,有对应的类别 启用禁用selinux 启用 permissi相当于半禁用,等于selinux不起作用,但是违反了策略会报警,并不起到阻止你的作用 disable彻底禁用 可以临时切换状态 sestatu...
se linux的工作模式,SELinux配置文件及工作模式
weixin_42305648的博客
05-14 410
SELinux配置文件我们知道,SELinux是预先配置的,可以在不进行任何手动配置的情况下使用SELinux功能。然而,一般来说,预先配置的SELinux设置很难满足所有的Linux系统安全需求。SELinux配置只能有root用户进行设置和修改。配置和策略文件位于/etc/selinux目录中,主配置文件位/etc/selinux/config文件,该文件中的内容如下:[root@localh...
SELinux 学习总结
eo_rsgfd的博客
02-02 3446
什么是SELinux SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上 SELinux 基本架构与原理. SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查
安卓的selinux详解
03-17
### 安卓中 SELinux 的工作机制详解 #### 1. SELinux 基本概念 SELinux 是一种基于 Linux 内核的安全模块,它提供了更细粒度的访问控制机制。与传统的 DAC(Discretionary Access Control)不同,SELinux 使用 MAC(Mandatory Access Control),即强制访问控制[^1]。 在 Android 中,SELinux 被用来保护设备免受恶意软件和其他潜在威胁的影响。其核心功能是对进程和文件之间的交互施加严格的权限管理,从而防止未经授权的行为发生。 --- #### 2. SELinux 模式解析 SELinux 在 Android 中支持三种主要模式: - **Disabled 模式**: 此模式下,SELinux 功能完全关闭,系统不对任何资源访问实施控制。这种模式很少见于实际部署环境,主要用于特殊用途或实验场景[^3]。 - **Permissive 模式**: Permissive 模式允许所有操作继续运行而不被阻断,但它会记录所有违反策略的操作日志。此模式常用于开发和调试阶段,以便开发者能够分析可能存在的安全漏洞。 - **Enforcing 模式**: Enforcing 模式严格遵循定义好的安全策略,任何不符合规则的操作都会被立即阻止,并记录到审计日志中。这是 Android 生产环境中默认启用的模式,旨在保障系统的安全性。 --- #### 3. SELinux 主要配置文件 SELinux 的行为由一系列配置文件决定,这些文件描述了哪些主体可以访问哪些客体以及如何访问它们。以下是几个重要的配置文件及其作用: - `sepolicy`: 这是 SELinux 策略的核心文件,包含了所有关于域、类和规则的信息。 - `/etc/selinux/config`: 控制 SELinux 的全局设置,比如当前使用的模式 (enforcing/permissive/disabled)。 - `.te` 文件: 表达特定类型的规则集,例如应用服务或者硬件驱动程序的相关约束条件。 - `.fc` 文件: 描述文件上下文映射关系,帮助确定新创建对象所属类别。 --- #### 4. 安全上下文结构 每一个实体——无论是进程还是文件,在 SEAndroid 下都有对应的安全上下文表示形式如下所示: `scontext=u:r:<domain>:s0` 其中各部分含义分别为: - u – 用户身份; - r – 所扮演的角色; - domain – 当前活动所在的区域名称; - s0 – 敏感级别标记[^4]。 例如,当查看某个进程时可能会得到这样的输出:`u:r:init:s0`,这表明该进程属于 init 类型下的实例化过程。 --- #### 5. 实际案例分析 - 日志解读 下面给出了一条典型的 AVC(Access Vector Cache)拒绝消息作为例子进行解释: ``` type=1400 audit(0.0:23): avc: denied { read } for comm="test" name="test.json" dev="sda12" ino=25609 scontext=u:r:test:s0 tcontext=u:object_r:test_file:s0 tclass=file permissive=1 ``` 这条信息告诉我们尝试读取名为 test.json 的文件失败的原因是因为缺少适当的权利许可。具体来说: - 发起者(`comm`)试图执行的动作({read})未获批准; - 来源(context)`u:r:test:s0`,目标(context)`u:object_r:test_file:s0`; - 对象类型(class)=file,permissive标志设为了true意味着此时处于宽容状态而非强制执法状态下才会触发此类警告提示[^5]. --- #### 6. 总结 综上所述,SELinux 在 Android 平台上的实现极大地增强了移动操作系统整体防护能力。通过对各类组件间相互作用加以精确限定,有效减少了因错误编码或其他原因引发的数据泄露风险。 ```python # 示例 Python 代码展示如何检查 SELinux 模式 import os def get_selinux_mode(): with open('/sys/fs/selinux/enforce', 'r') as f: mode = int(f.read().strip()) return "Enforcing" if mode == 1 else "Permissive" print(get_selinux_mode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值