SELinux 概述

已于 2025-03-05 14:54:57 修改
阅读量1k 收藏 9
点赞数 29
文章标签: 网络 服务器 运维 selinux
于 2025-03-05 13:21:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_57012538/article/details/146040782
版权

SELinux 概述

概念

SELinux(Security-Enhanced Linux)是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统。它确保服务进程仅能访问它们应有的资源。

例如,当你在使用照片软件时,软件应该仅操作图片文件,而不能监听浏览器中的密码信息。

作用

  • SELinux 域限制:对服务程序的功能进行限制,确保服务程序不能做出越权行为。
  • SELinux 安全上下文:对文件资源的访问进行限制,确保只有相关的服务进程可以访问相应的文件。

SELinux 与传统权限的区别

  • 传统权限:属于自主访问控制(DAC,Discretionary Access Control),基于用户/用户组设置的权限来控制文件的访问权限。
  • SELinux:属于强制访问控制(MAC,Mandatory Access Control),它通过策略规则来制定访问控制,进程和文件的访问权限基于安全上下文,而不完全依赖于文件的所有者或进程的用户身份。

SELinux 工作原理

关键概念

  • 主体(subject):指向访问资源(文件或目录)的进程。
  • 目标(object):指被访问的资源(文件或目录)。
  • 策略(policy):一组规则,用于定义主体访问目标的权限。
  • 安全上下文(security context):用于标识进程、文件或目录的安全属性,决定了它们是否能够互相访问。

安全上下文的结构

安全上下文通常由以下四个字段组成:

身份标识(identity): 角色(role): 类型(type): 灵敏度(sensitivity)
  • 身份标识(identity):标识进程或文件的所有者。
  • 角色(role):区分进程与文件的角色,例如 system_r 代表进程,object_r 代表文件。
  • 类型(type):用于决定进程和文件是否能互相访问,基于策略规则匹配。
  • 灵敏度(sensitivity):定义安全级别,s0, s1, s2 等,数字越大,权限越高,管控越严格。

SELinux 默认策略

  • targeted:默认策略,限制网络服务(如 dhcpd, httpd, named 等),对本机系统限制较少。
  • mls:多级安全保护策略,限制更为严格。

SELinux 工作流程

当主体(进程)访问目标(文件或目录)时:

  1. SELinux 检查主体和目标的安全上下文是否匹配。
  2. 若安全上下文匹配并且符合策略规则,允许访问。
  3. 若不匹配,访问被拒绝并生成拒绝信息。

SELinux 模式

  • enforcing:强制模式,启用 SELinux 且拦截所有非法请求。
  • permissive:宽容模式,启用 SELinux,发出警告但不拦截。
  • disabled:关闭 SELinux。

SELinux 状态与配置

查看 SELinux 状态

  • 查看当前 SELinux 模式getenforce
  • 查看详细状态sestatus
  • 查看 SELinux 配置文件/etc/selinux/config

修改 SELinux 配置文件

bash# 编辑配置文件
vim /etc/selinux/config
# 修改 SELINUX 变量
SELINUX=enforcing  # 启用 SELinux
SELINUX=disabled   # 禁用 SELinux

临时修改 SELinux 模式

bash# 临时开启
setenforce 1
# 临时关闭
setenforce 0

恢复 SELinux 默认安全上下文

  • restorecon:恢复文件的默认安全上下文
restorecon -Rv /web1  # 对目录和子目录恢复安全上下文

修改 SELinux 安全上下文

  • chcon:手动修改目标的安全上下文
chcon -v -t httpd_sys_content_t /web1  # 设置类型为 httpd_sys_content_t

查看 SELinux 端口配置

# 查看 SELinux 允许的端口
semanage port -l

semanage 命令

semanage 用于管理 SELinux 策略,添加/修改/删除文件的默认安全上下文,管理网络端口等。

常用命令:

  • 查询默认安全上下文
semanage fcontext -l | grep /etc/passwd
  • 查询允许的端口

semanage port -l | grep http

SELinux 配置示例

使用 httpd 服务的 SELinux 设置

  1. 安装 httpd
yum install httpd -y
  1. 设置默认网页目录
mkdir /web1
  1. 修改目录安全上下文
chcon -Rv -t httpd_sys_content_t /web1
  1. 修改 httpd 配置
vim /etc/httpd/conf/httpd.conf
DocumentRoot "/web1"
<Directory "/web1">
  1. 重启 httpd 服务
systemctl restart httpd
Linux报错Permission denied的文件权限与SELinux配置
shejizuopin的博客
05-30 918
本文详细解析了Linux系统中常见的"Permission denied"错误及其解决方案。从文件系统权限和SELinux策略两个维度出发,通过具体案例展示了如何排查和修复权限问题。内容包括:1)文件权限基础知识和常见问题解决方法;2)SELinux工作原理及配置技巧;3)综合排查流程和实际应用示例。文章特别提供了权限和SELinux配置的参考表格,帮助读者快速掌握关键命令和配置方法。适合Linux系统管理员和开发者在遇到权限问题时参考使用。
SELinux访问控制机制系列:SELinux概述
路漫漫其修远兮,吾将上下而求索。
05-16 2095
SELinux使用了分级的强制访问控制,是Linux内核的重要安全措施。SELinux的安全策略工具可从http://oss.tresys.com下载。本篇分析了SELinux的安全机制,介绍了安全策略配置语言、内核策略库的结构,简述了SELinux内核模块的实现,还分析了用户空间的客体管理器。 1. SELinux概述 SELinux是安全增强的Linux,是Security-enhanced ...
【Linux】DACMACSElinux基本了解
大大不吹泡泡的博客
07-05 2293
SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中。因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。现在主流发现的Linux版本里面都集成了SELinux机制.CentOS/RHEL都会默认开启SELinux机制。
Android-SeLinux安全策略
qq_46422460的博客
04-20 1555
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制)MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
linux dac 的权限,DAC(文件权限),ACL和MAC(SELinux)在Linux文件安全性中扮演什么角色?...
weixin_35098081的博客
05-07 1307
我需要对DAC,ACL和MAC在Linux文件安全性中扮演的不同角色进行一些澄清/确认/阐述.经过文档的一些研究,这是我对堆栈的理解:> SELinux必须允许您访问文件对象.>如果文件的ACL(例如,ACL安装的setfacl,getfacl)明确允许/拒绝访问该对象,则不需要进一步处理.>否则,它取决于文件的权限(rwxrwxrwx DAC模型).我错过了什么吗?是否存在不是...
SELinux概述.pdf
09-22
SELinux 概述 SELinux(Security-Enhanced Linux)是一种基于 Linux 内核的强制访问控制机制,旨在提供更高的安全性。它使用类型加强(Type Enforcement,TE)和基于角色的访问控制(Role-Based Access Control,...
Selinux概述
什么是Selinux Selinux,全称Security-Enhanced Linux,是一种安全增强的Linux操作系统。它在Linux内核层面实现了强制访问控制(MAC),可以对系统资源进行细粒度的访问控制,提高系统的安全性。 Selinux是由NSA...
RHEL/CentOS 7中的SELinux概述
成长的足迹
06-21 1214
Security Enhanced Linux (SELinux)是一个访问控制服务,基于安全策略加强对系统资源的访问控制。在系统安全的基础上,解决“May <subject> do <action> to <object>”的访问控制问题。 SELinux是一个Linux内核的扩展模块,通过LSM(Linux Security Module)框架在链接时被加...
Android系统10 RK3399 init进程启动(二十一) DACMAC介绍
ldswfun的专栏
05-07 1923
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统:Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节开始讲解SEAndroid相关的概念,更多是理论性的内容,帮助大家慢慢对SeAndroid有一个初步认识。 一, DAC权限控制概念 selinux之前, linux采用的是DAC (Discretionary Access Control,自主访问控制系统)基本概念就是系统只提供基...
DACMACSELinux,SEAndroid
weixin_34384681的博客
08-27 336
1. 被ROOT了怎么办 2. SELinux 3. SEAndroid 4. JB(4.3) MR2的漏洞弥补 ------------------------------------------- ------------------------------------------- 1. 被ROOT了怎么办     恶意应用获得了ROOT权限 --- 现在我们是无能为力的  ...
SELinux MAC安全机制简介
林多
03-11 3119
SELinux MAC安全机制 SELinux MAC Security Enhanced Linux(SELinux),使用Mandatory Access Control(MAC)方式对权限进行管控。 MAC强制访问控制,针对特定的程序与特定的文件资源进行权限管理。 MAC采用政策(Policy)\规则(Rule)、安全上下文,主体对目标的访问,需要满足政策、安全上下文,才可以访问。 SE...
selinux指定某个文件夹权限
weixin_33909059的博客
09-06 1000
2019独角兽企业重金招聘Python工程师标准>>> ...
【2014年12月23日】【每日一问】DACMAC有什么区别?
崔炳华
12-23 1万+
【答】 1. DAC(Discretionary Access Control,自主访问控制) ① DAC是传统的Linux的访问控制方式,DAC可以对文件、文件夹、共享资源等进行访问控制。 ② 在DAC这种模型中,文件客体的所有者(或者管理员)负责管理访问控制。 ③ DAC使用了ACL(Access Control List,访问控制列表)来给非管理者用户提供不同的权限,而root用户对
SELinux文件访问安全策略和app权限配置
lmpt90的专栏
06-13 2502
原文地址:https://www.zybuluo.com/guhuizaifeiyang/note/772144 基于android6.0版本的SELinux文件访问安全策略 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传...
内核编程 make时出现/include/linux/build_bug.h:29:45: error negative width in bit-field ‘<anonymous>‘错误
jackcsdnfghdtrjy的博客
09-16 1634
问题:内核编程 make时出现/include/linux/build_bug.h:29:45: error negative width in bit-field '<anonymous>'错误 解决办法:修改XX_ATTR()函数的权限。 本人开始权限是0664 修改为0444 后 编译成功。 权限为0666 编译报错 修改后 编译通过。 ...
SELinux深入理解
热门推荐
MyArrow的专栏
08-09 11万+
1. 简介     SELinux由以下两部分组成:     1) Kernel SELinux模块(/kernel/security/selinux)     2) 用户态工具 1.1 DACMAC的关键区别(root用户)       在SELinux(MAC)中,没有root用户的概念。安全策略是由【管理员】定义,并应用于每一个【进程】和【对象】,没有什么可以替代它。这意味着恶意
添加 Selinux 权限步骤
wangjun7121的专栏
03-06 7199
前言 简单笔记 步骤 一、首先验证是否是 Selinux 权限相关问题 在 eng 版本中使用: setenforce 0 临时关闭 selinux 后,再验证。(注:有时是权限问题,但也未必有效,这时可通过 log 确认) 二、给可执行程序添加权限: src\device\qcom\sepolicy\common\file_contexts # wangjun@wind-mo...
运输层__
最新发布
王老汉的博客
06-07 789
提供用户可控的端到端服务用户端的业务复用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

疑犯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值