Selinux的由来和安全上下文

最新推荐文章于 2025-03-03 07:00:00 发布
最新推荐文章于 2025-03-03 07:00:00 发布
阅读量8.4k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux usages 文章标签: selinux linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/solinger/article/details/89472396
SELinux是安全增强型Linux,由NSA开发,增强了Linux的强制访问控制MAC。它限制了进程的活动空间,即使管理员也无法随意访问所有资源。SELinux政策包括targeted、minimum和mls,规则是模块化的。安全上下文是访问控制属性,包括身份、角色、类别和灵敏度。进程和文件都有安全上下文,决定了访问权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SELinux是什么

SELinux(Security-Enhanced Linux),称为安全增强型Linux,是有美国安全局(NSA)开发的,Linux内核从2.6版本就进行了集成,使的整个系统变的更安全。

为什么是安全增强型

在没有SELinux的操作系统中,一个资源是否能被访问和操作是由操作者是否有该资源的访问和操作权限所决定的,且系统管理员拥有所有权限,这种情况的权限管理机制的主体是用户,也被称为自主访问控制DAC(Discretionary access control)。

相对于自主访问控制DAC,后来又出现了强制访问机制MAC(Mandatory access control), 在这种机制下,一个资源是否被访问取决于以下两个因素:

  • 操作者是否具有该资源的访问和操作权限(DAC)
  • 当前进程是否拥有这一列资源的访问权限

以上,我们看到MAC相对于DAC在控制上有所增强,SELinux就是MAC机制的一种实现,所以称之为安全增强型。MAC权限管理机制主体是进程。

在使用了SELinux的操作系统中,即使用户是以管理员身份也并不一定能操作所有资源,SELinux仍会查看该进程的类型和访问资源的类型才能决定是否允许,这样进程的活动空间被压缩到最小。
我们在介绍Selinux的使用后,会有具体列子来演示这一块安全性的提高。

SELinux的常用概念

  • 主体: 进程

  • 对象:被主体访问的资源,可以是文件,目录,端口,设备等

  • 政策
    系统中有大量的文件和进程,我们只选择性的对某些进程进行管制。
    而哪些进程需要管制,要怎么管制就是由政策决定。政策总共又三种:

    • targeted: 对大部分网络服务进行管制。
    • minimun: 从targeted中的大部分网络服务中选择一部分进行管制。
    • mls
最低0.47元/天 解锁文章

200万优质内容无限畅学
SELinux系列(六)——SELinux安全上下文查看方法 详细介绍
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2366
SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程文件都有自己的安全上下文SELinux 会为进程文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件目录的安全上下文 -rw-------.root root system_.
Selinux安全上下文详解
weixin_34257076的博客
11-22 1989
SELinux介绍DAC:自由访问控制MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件端口)默认情况下,没有被明确允许的行为将...
SELinux 安全上下文
Buster_ZR的博客
05-14 1990
SELinux 安全上下文 1、SELinux安全上下文 安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),”域””域类型”意思都一样,即都是安全上下文中的“TYPE”。 SELinux对系统中的许多命令做了修改,通过执行 ls -Z 选项显示客体主体的安全上下...
linux进程安全上下文,Selinux安全上下文详解
weixin_28894087的博客
04-29 1208
SELinux介绍DAC:自由访问控制MAC: 强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件端口)默认情况下,没有被明确允许的行为将被拒绝Selinux策略对象(object):所有可以读取的对象,包括文件、目录进程、端口等主体:进程称为主体(subject)Selinux中所有的文件...
Selinux安全上下文属性、:x:wq的区别
李俊的博客
04-27 728
Selinux开启后,每个文件都有安全上下文属性,有这个"."说明这个文件包含安全上下文属性,可以ls  -lZ查看跟设置ACL后文件会有+符号标记是一样的,是文件属性的标记[root@server0 ~]# getenforce Enforcing[root@server0 mnt]# mkdir aaa[root@server0 mnt]# ll -Zdrwxr-xr-x. root root...
服务器监控与自动化:Iptables与Selinux综合应用
在现代互联网环境下,服务器是许多企业个人进行业务数据存储的核心设备。服务器的稳定性可靠性对于业务的正常运行至关重要。因此,对服务器进行有效的监控是必不可少的。 服务器监控可以帮助管理员实时了解...
揭秘K8s Pod安全:从SCC的实践到现在的PSA的全面解析
力哥讲技术
04-28 1414
对于 containerd 类似,通过 Linux namespace Cgroup 实现的一类 容器技术,本质上,容器就是 宿主节点的一个进程,出于安全考虑,最小权限原则,在生产中,很少使用 Root 来运行一些业务进程,即很少通过 根用户 来运行相关容器。避免 特权升级,容器逃逸,以及利用不必要权限来增加意外操作或者恶意行为。
【容器化安全性】:Docker安全策略与Java应用实践
[【容器化安全性】:Docker安全策略与Java应用实践](https://opengraph.githubassets.com/7acde2c6f20a48855db9d6f1d90986d16bf16aa4429920b534f207bd0d4b2f47/dockerfile/java) # 1. 容器化技术简介 容器化技术,...
Linux权限管理】:文件与目录安全设置全攻略
本文系统地介绍了Linux权限管理系统,从基础理论到实际应用,再到问题排查与未来趋势,全面探讨了Linux环境中文件目录权限的管理。文章首先阐述了Linux文件权限的基本概念、特殊权限位以及权限的分配与限制。随后...
SELinux安全上下文初探
weixin_34323858的博客
11-12 183
SELinux安全上下文初探 开启我们的SELinux,我在安装linux系统时将它禁用了,但是开启selinux后,可能会对我们的一些服务有些限制功能,比如你可能不能正常访问网页、ftp等等,下面就对这些问题通过设置SELinux来解决这些问题 1、如果你的SELinux没用启动的话,有以下几种启动的方法 不可用状态...
LinuxSElinux安全上下文件(1)
weixin_34179968的博客
09-22 169
LinuxSElinux安全上下文件(1)SELinux:Secure Enhanced Linux,是美国国家安全局(NSA=The National Security Agency)SCC(Secure Computing Courporation)开发的LInux的一个强制控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后继承在内核中。访问控...
Linux系统之SELinux详解
最新发布
weixin_56303229的博客
03-03 2537
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程用户只能执行那些被明确允许的操作。
selinux基础
zzzluyao的博客
11-07 310
SELinux (security  enhanced linux : 内核级加强型火墙),它拥有灵活而强制性的访问控制结构,目的是让linux系统更为安全。 一 . selinux 工作状态  getenforce   查看selinux 工作状态 也可以在配置文件中查看详细参数:  /etc/sysconfig/selinux   配置文件中有3个值可以用,enforcing 表示...
linux命令下的ls的一些知识
huangbaokang的博客
12-29 514
默认在命令行中输入ls,将显示当前目录下的文件及目录,默认列表是按字母排序的。 并且颜色的显示是由LS_COLORS环境变量控制的,不同的Linux发行版根据各自终端仿真器的能力设置这个环境变量。 当前我虚拟机上的显示如下: [root@localhost ~]# echo $LS_COLORS rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=0...
linux selinux基础
书山有路勤为径
02-21 587
背景:安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
节点增加selinux权限
arunboy的博客
02-15 2413
1,修改路径为: Android11_alpha/vendor/XXX/product/mt9615_r/common/device/sepolicy/ 2,修改文件 modified: device.te modified: file_contexts modified: XXXXXXX.te 3,修改内容 device.te里面添加一个标签 type demura_spi_device, dev_type; file_contexts里面添加节点 /dev/spidev0.0
Linux_SElinux 安全上下文的理解
Ff12123的博客
05-15 5623
selinux 安全上下文是一个访问控制属性。在SELinux中,类型标识符是安全上下文中决定访问的主要的部分。 为了简便,这里我就使用一台机器既作客户端又作服务端来进行实验 1. getenforce #查看他的selinux是否为强制状态 2. touch /mnt/file1 #在mnt下创建file1 文件 因为mnt的安全上下文为mnt_t 3. mv /mnt/fi...
ls -l 与 ls -a 、ls -al 的区别
liuzhen007的专栏
08-24 1万+
ls ls -a ls -l ls -al
linux ls -al 各项说明,查看设备是否具有读写权限
热门推荐
码点
05-28 2万+
摘要:在linux下,为了查看文件,经常使用的命令是ls-al,如下所示:aliyunzixun@xxx.com:/usr/sbin>ls-altotal33788dr-xr-xr-x. 2rootroot 12288Nov 2 2012.drwxr-xr-x.13rootroot 4096Oct20 2012..-rwxr-xr-x 1rootr 在linux下,为了查看文...
selinux安全上下文命名
08-17
SELinux使用安全上下文来标识控制对象的访问权限。安全上下文是由一个或多个部分组成的,通常包括标签类型。 在SELinux中,安全上下文由以下几个部分组成: 1. 用户: 表示文件或进程所属的主体,以用户标识符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值