Linux笔记之SELinux 与 AppArmor

最新推荐文章于 2025-05-10 15:51:48 发布
最新推荐文章于 2025-05-10 15:51:48 发布
阅读量1k 收藏 31
点赞数 10
分类专栏: Linux笔记 文章标签: linux 笔记 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44632427/article/details/143867147
版权

Linux笔记之SELinux 与 AppArmor

Linux SELinux 与 AppArmor

Linux系统通过强制访问控制(MAC,Mandatory Access Control)机制增强安全性,主要代表为SELinuxAppArmor。本章将详细讲解这两种安全模块的基本概念、配置方法及常用命令。

一、SELinux

1、SELinux 概述

概念说明

SELinux(Security-Enhanced Linux)是Linux内核的一个安全模块,用于通过定义安全策略来限制用户及进程对系统资源的访问。SELinux提供三种工作模式:

  • Enforcing:强制执行策略。
  • Permissive:记录违规行为但不阻止。
  • Disabled:关闭SELinux。
状态查看

使用以下命令查看当前SELinux状态:

getenforce

输出示例

Enforcing

或者查看详细状态:

sestatus

输出示例

SELinux status:                 enabled
SELinuxfs mount:               /sys/fs/selinux
Current mode:                  enforcing
Mode from config file:         enforcing
Policy version:                33
Policy from config file:       targeted

2、SELinux 策略类型

概念说明

SELinux使用策略来决定进程和资源间的访问权限。常见的两种策略:

  • Targeted:大部分进程运行在非限制模式,仅部分关键进程受控。
  • MLS(Multi-Level Security):提供多级别安全控制,较少使用。

查看当前策略:

sestatus | grep "Policy from config file"

3、SELinux 配置

修改SELinux模式

通过setenforce命令动态修改SELinux模式:

setenforce 0   # 切换为Permissive模式
setenforce 1   # 切换为Enforcing模式

修改配置文件实现永久设置:

sudo vim /etc/selinux/config

SELINUX值设置为以下之一:

SELINUX=enforcing
SELINUX=permissive
SELINUX=disabled
实际操作

修改为Permissive模式并验证:

sudo setenforce 0
getenforce

输出结果

Permissive

4、管理SELinux上下文

概念说明

SELinux通过上下文(context)控制文件、目录或进程的访问权限。上下文信息包括user:role:type:level四部分,通常关注type字段。

查看文件的SELinux上下文:

ls -Z filename

输出示例

-rw-r--r--. root root system_u:object_r:etc_t:s0 filename

修改上下文:

sudo chcon -t httpd_sys_content_t /var/www/html/index.html

还原默认上下文:

sudo restorecon /var/www/html/index.html

二、AppArmor

1、AppArmor 概述

概念说明

AppArmor(Application Armor)是另一个Linux安全模块,通过为每个程序设置独立的权限配置文件(profile)来实现访问控制。与SELinux相比,AppArmor更易于配置,适合应用安全管理。

2、AppArmor 启用状态

查看AppArmor是否启用:

sudo aa-status

输出示例

AppArmor status: apparmor is enabled and all processes are in enforce mode.

3、配置AppArmor

配置文件路径

AppArmor的配置文件通常位于:

/etc/apparmor.d/
启用与禁用Profile

启用某个Profile:

sudo aa-enforce /etc/apparmor.d/usr.sbin.nginx

禁用某个Profile:

sudo aa-disable /etc/apparmor.d/usr.sbin.nginx
实际操作

以Nginx为例,启用其AppArmor规则:

sudo aa-enforce /etc/apparmor.d/usr.sbin.nginx
sudo systemctl restart nginx

查看状态:

sudo aa-status | grep nginx

输出结果

/usr/sbin/nginx     enforced

4、自定义AppArmor配置文件

创建Profile

生成模板:

sudo aa-genprof /path/to/application

编辑生成的Profile文件并调整规则后加载:

sudo aa-enforce /etc/apparmor.d/profile_name

三、SELinux 与 AppArmor 对比

特性SELinuxAppArmor
配置难度较高较低
安全级别更精细的强制访问控制应用级访问控制
策略应用范围全系统每个程序
默认支持的发行版Red Hat、CentOS 等Ubuntu、Debian 等

四、小结

通过本章学习,你已经掌握了以下内容:

  1. SELinux

    • SELinux的概述、状态查看及策略类型。
    • 动态与永久修改SELinux模式。
    • 使用上下文管理文件的SELinux属性。

  2. AppArmor

    • AppArmor的概述、状态查看及配置方法。
    • 启用、禁用和自定义Profile的操作流程。

  3. 对比分析

    • 理解了SELinux与AppArmor在安全管理中的不同特点及适用场景。

通过选择合适的安全模块并进行合理配置,可以大幅提升Linux系统的安全性和管理效率。

linux-安全管理-SELinux / AppArmor
Flying_Fish_roe的博客
09-17 1572
SELinux 是由美国国家安全局(NSA)开发的一个Linux内核安全模块,它通过强制访问控制(MAC)策略限制进程对系统资源(文件、端口、设备等)的访问。传统的自主访问控制(DAC,Discretionary Access Control)不同,SELinux允许系统管理员定义更加严格的访问控制规则,即使是具有超级用户权限的进程也会受到限制。AppArmor 是另一个强制访问控制系统,它提供了SELinux类似的安全功能,但其策略和使用方式更加简单。
AppArmorSElinux
db5404的博客
06-18 192
AppArmorSElinux 转载于:https://www.cnblogs.com/tswcypy/p/4586191.html
一文搞懂系列——AppArmor 使用方式
最新发布
点滴路程
05-10 886
Linux系统通过DAC(自主访问控制)提供基础权限管理,但无法满足高安全场景。MAC(强制访问控制)如AppArmor通过路径限制、能力管控和网络规则,以管理员定义的策略强制约束进程行为,有效防御特权滥用。相比SELinux的标签模型,AppArmor配置更简单,适合车载等快速部署场景。借助LSM框架动态加载,AppArmor可灵活保护关键进程(如OTA、诊断服务),符合《GB 44495-2024》要求,是MT86系列实现信息安全的优选方案。
Linux 系统安全加固:深入 SELinux AppArmor
weixin_39372311的博客
07-08 1361
SELinuxAppArmor 是两款强大的 Linux 安全模块,它们可以帮助你加固 Linux 系统安全,防止未经授权的访问和恶意行为。通过学习它们的原理、配置和使用方法,你可以更好地保护 Linux 系统安全,确保其稳定运行。
SELinuxAppArmor的了解
pingyufeng的博客
07-17 359
SELinuxAppArmor
Linux 学习笔记---SELinuxAppArmor
某技术爱好者的专栏
07-03 6996
Linux学习笔记---SELinuxAppArmor
Linux相关ppt和笔记
03-02
你可能会了解到SSH密钥对认证、SELinuxAppArmor的安全策略、以及如何通过chroot环境限制用户权限。 最后,自动化和脚本编写也是高效运维的工具。bash脚本能帮助你自动化日常任务,例如备份、系统维护和报告生成。...
深入解析Linux内核系统管理的权威笔记
7. 系统安全:涉及Linux内核的安全机制,如SELinuxAppArmor等,以及用户权限管理和安全漏洞防御。 8. 模块管理:解释了Linux内核模块的概念、作用以及如何动态地加载和卸载模块。 9. Linux系统管理:除了内核...
Linux内核架构分析的电子笔记经典之作
Linux内核提供了一系列安全机制,如强制访问控制(MAC)、访问控制列表(ACL)、安全增强型LinuxSELinux)和AppArmor等,以保证系统安全运行。 架构分析是指对Linux内核进行深入研究,理解其各模块的工作原理和...
初学者必备Linux全面笔记手册
Linux笔记是专为Linux学习者准备的...Linux笔记作为该机构的学员资料,反映了其为学员提供全面知识体系和实战经验的教学理念,强调理论实践相结合的学习方法,有助于学员在未来的工作中能够快速适应并应用所学知识。
apparmor overview
07-26
介绍apparmor的幻灯片。apparmor也是一个基于LSM的安全操作系统实现,SELINUX的主要区别在于其本身是基于文件路径名来实现访问控制的。而SELINUX是基于标记的
apparmor-docker
05-28
在主机上加载Docker的AppArmor配置文件 用法: docker run -v /sys/kernel/security:/sys/kernel/security --privileged --rm -t ewindisch/apparmor 内核配置 机器必须具有可用并已配置的AppArmor模块。 主机上不需要AppArmor用户空间。 对于某些发行版,可能需要以下内核命令行: apparmor=1 security=apparmor 有关启用AppArmor的信息,请参阅发行版的文档。
Linux 从基础到进阶】SELinux AppArmor 安全模块配置
weixin_39372311的博客
08-07 1155
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的安全模块,通过强制访问控制策略来保护系统。它基于安全策略的定义,限制进程对系统资源的访问。AppArmor(Application Armor)是一个安全模块,通过定义应用程序的安全策略来限制其行为。它使用配置文件(profile)来描述进程对文件、网络和其他资源的访问权限。通过本文的介绍,您已经了解了 SELinuxAppArmor 的基本概念、安装和配置方法。
linux安全策略加固文档_LinuxselinuxAppArmor安全策略初探
weixin_31898831的博客
12-25 530
前言:SELinux(Secure Enhanced Linux)和AppArmor同样都是内核级别的安全机制,集成于内核中,两者的不同是SELinux使用文件的inode作为安全标签,而AppArmor使用路径名作为安全标签今天就为大家分享一下这两种安全机制,虽说分享,其实也只是初探(只是皮毛),因为在平时使用中,我一般也是关闭这个安全机制。一,先来介绍selinuxAppArmor...
AppArmor
joy
10-03 2363
AppArmor是一个Linux安全模块(LSM)实现基于名字的强制访问控制(MAC)。我该如何开始/停止/重新启动AppArmor的Ubuntu Linux操作系统下或openSUSE/SUSE企业级Linux服务器系统,IBM硬件上运行? AppArmor是一个有效的和易于使用的Linux应用安全系统。 AppArmor的则保护Linux操作系统及应用程序从内部或外部的威胁,甚至零日
Linux桌面需要强制访问控制,在 Linux 上用 SELinuxAppArmor 实现强制访问控制(MAC)...
weixin_35886636的博客
05-10 588
为了解决标准的“用户-组-其他/读-写-执行”权限以及访问控制列表[1]的限制以及加强安全机制,美国国家安全局(NSA)设计出一个灵活的强制访问控制(MAC)方法 SELinux(Security Enhanced Linux的缩写),来限制标准的权限之外的种种权限,在仍然允许对这个控制模型后续修改的情况下,让进程尽可能以最小权限访问或在系统对象(如文件,文件夹,网络端口等)上执行其他操作。SEL...
【容器安全系列Ⅴ】- Linux强制访问控制:AppArmorSELinux
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
09-03 1180
在本系列中,我们介绍了各种安全层,这些安全层不仅可以将容器主机上的其他进程隔离开来,还可以将容器其底层主机隔离开来。在这篇文章中,我们将讨论 AppArmorSELinux 如何在我们之前讨论过的其他隔离层之外提供额外的限制。
CKS学习笔记--AppArmor
weixin_43394724的博客
12-14 1488
介绍 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序一个安全配置文件关联,从而限制程序的功能。 简单的说,AppArmorSELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了ApparmorAppArmor配置文
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间酒中仙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值