基于linux下的selinux强制访问控制

最新推荐文章于 2025-06-16 15:18:31 发布
最新推荐文章于 2025-06-16 15:18:31 发布
阅读量1k 收藏 3
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40172997/article/details/83930652
本文介绍了SELinux的基本概念、状态管理和安全上下文。内容包括SELinux的三种状态(enforcing、disabled、permissive)及其切换方法,以及安全上下文对文件和进程访问控制的重要性。通过示例展示了如何查看和修改安全上下文,以及通过semanage和setsebool调整系统功能。同时,提到了SELinux的日志分析和故障排除。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

         SELinux是Security-Enhanced Linux的简称,SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。

1.selinux状态

SELINUX有 enforcing   disabled    permissive   3种选择

enforcing       //强制,如果违反了策略,则无法继续操作

disabled       //关闭,安全级别最低

permissive   //警告,selinux有效,即使是违法策略,依旧可以继续操作,但是会有警告,查看警告信息:cat /var/log/audit/audit.log

命令查询当前selinux状态:

getenforce

设置selinux的状态:

方式1.编辑配置文件

vim  /etc/sysconfig/selinux        ##在配置文件中修改selinux的状态,

保存退出后需要重启才能使该修改生效

方式2.命令修改:setenforce=0 | 1

setenforce=0            ##设置selinux的状态为permissive

setenforce=1            ##设置selinux的状态为enforcing

注意:该方式对selinux状态的修改是临时的。

命令方式可以对selinux的状态在permissive和enforcing之间进行切换,但是如果要从这两种方式向disabled状态切换时,必须通过编辑配置文件进行修改,并重启生效。

安全上下文的引入:

当selinux处于disabled状态时:

在/mnt 目录下建立目录后移动到默认发布目录下

用匿名用户登陆查看

修改配置文件,将selinux状态修改为enforcing,重启生效

重新在/mnt 目录下建立文件后移动到默认发布目录下

用匿名用户登陆查看:发现并没有看到westofile 文件

查看警告日志:

>  /var/log/audit/audit.log          ###清空警告日志

cat /var/log/audit/audit.log        ###查看警告日志

2.selinux安全上下文

      安全上下文是一个访问控制属性。当安全上下文匹配时,才会被访问允许;若不匹配时则不被允许。在SELinux中,类型标识符是安全上下文中决定访问的主要的部分。

安全上下文基本格式说明:

所有的文件和端口资源和进程都具备安全标签:安全上下文(security context)组成元素:

user:role:type:sesitivity:category,

如user_u:object_r:tmp_t:s0:c0

实际上下文存放在文件系统中,进程、文件、已经用户等都有相应的安全上下文。

查看安全上下文

查看指定文件的安全上下文:ls -Z

查看进程的安全上下文件:

查看用户安全上下文:

上述实验中在远程连接172.25.254.100时看不到/var/ftp/westofile

查看/var/ftp中文件的安全上下文:

ls  -Z  /var/ftp

可以看出westofile的安全上下文和ftp (public_content_t)默认安全上下文不一致,所以远程连接时无法查看该文件。

当selinux 为permissive 状态时,远程连接可以查看安全上下文不同的文件,但依然会有警告

setenforce 0

匿名用户远程连接查看

cat /var/log/audit/audit.log      

修改安全上下文

1. 修改文件的安全上下文

chcon   -t   public_content_t   /var/ftp/westofile

将selinux状态改为enforcing,测试在远程连接172.25.254.100时是否可以看到westofile

2. 修改目录及其内容的安全上下文

chcon   -t   public_content_t    dir  -R

新建目录及其目录下的文件,并将其移动到默认发布目录下

查看目录本身及其内容的安全上下文

修改目录及其内容的安全上下文

此时在远程连接172.25.254.100时是可以看到test1的

永久修改安全上下文

semanage  fcontext  -l      ###内核指定的所有文件的安全上下文的列表 

man semanage fontext         ####查询semanage用法

semanage   fcontext   -a   -t   public_content_t   '/dir(/.*)?'    # #永久修改目录及目录中所有内容的安全上下文

新建目录及其目录下的文件

查看目录本身及其内容的安全上下文

semanage   fcontext   -a   -t   public_content_t   '/dir(/.*)?' 

semanage fcontext -l | grep /dir    ###查看目录本身的安全上下文是不是public_content_t

restorecon  -RvvF   /dir                  ####递归刷新并显示刷新过程

sebool值

        selinux会对我们系统中有些功能加上开关,我们在使用这些功能时,应该先打开开关才可以使用。而selinux布尔值是更改selinux的开关;有时候,selinux的访问权限可选可通过selinux布尔值触发,可以提高系统安全性。

1.查看ftp 的sebool值设置:

getsebool   -a   |   grep   ftp              ###用于显示布尔值,查看进程的开启或关闭情况

可以看出ftpd的各项功能是默认关闭的状态

其中,ftp_home_dir - ->off 表示本地用户上传文件的功能未开启

2.将ftp_home_dir修改为 为开启状态

setsebool  -P  ftp_home_dir  on       ##修改布尔值(开启本地用户上传文件的功能);其中 -P表示 永久修改

getsebool   -a   |   grep   ftp              ###再次查看进程的开启或关闭情况,看是否修改成功

3.此时,测试本地用户是否可以成功上传文件

selinux 的排错

提供日志的插件

setroubleshoot-server.x86_64

 

 

 

 

 

 

newbie out
关注
掌握 LinuxSELinux强制访问控制机制和 iptables、 firewalld 两种防火墙以及他们的使用方法
m0_50105717的博客
04-29 112
介绍SELinux、iptables、firewalld的原理及常用操作
selinux 简介
qq_43679416的博客
09-07 1744
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) 1.对内核对象和服务的访问控制 2.对进程
SElinux强制访问控制
IT小石头
05-06 2449
Selinux安全体系结构成为flask ,安全策略的逻辑和通用接口一起封装在与操作系统独立的组件,这个安全组件成安全服务器。操作系统的访问控制分为自主访问控制DAC,强制访问控制,和基于角色的访问控制Selinux强制访问控制的实现。 Selinux 的特点: 对访问控制的彻底化,对所有文件,目录,端口,的访问都是基于策略设定的,用户被划分成不同的角色,即使是root用户,如果不是某个角
Linux系统中selinux详解
最新发布
xujiangyan_的博客
06-16 1034
例:找对象时,男人看作主体,女人就是目标,男人是否可以追到女人(主体是否可以访问目标),主要看两人的性格是否合适(主体和目标的安全上下文是否匹配),但两个人的性格是否合适,是需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断的((dhcpd,httpd,named,nscd,ntpd,portmap,snmpd,squid,以及 syslogd),对本机系统的限制极少。(Mandatory Access Control),可以针对特定的进程与特定的文件资源来进行权限的控制
Linuxselinux
weixin_44416500的博客
02-17 328
selinux SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的U...
SeLinux设置为enforing,系统不能启动
gbtux2008的专栏
02-04 2186
      今天在测试审计工具Linux Audit的时候,无意中将SELinux设置为enforing状态,然后重启系统后进不了,报错kernel panic。使用光盘进入linux rescue模式,但是不能修改/etc/selinux/conf和/mnt/sysimage/etc/selinux/conf中的参数,因为是只读模式。在网上查了一些资料,发现在系统的启动选项里可以给SELinux
一种基于Linux内核的强制访问控制安全系统:SELinux介绍
weixin_70208651的博客
11-03 870
SELinux的核心功能在于其强制访问控制机制,它通过预定义的安全策略或自定义策略来实施访问控制。这些策略可以非常精细地控制用户、进程和数据之间的交互,从而保护系统免受未授权访问和潜在威胁。SELinux广泛应用于服务器安全、云计算、虚拟化等领域。大型企业和组织通常使用SELinux来保护其服务器和数据的安全性,避免因恶意软件或黑客攻击而导致的数据泄露和系统故障。在云计算中,SELinux可以提供更高的安全性,防止虚拟机之间的攻击和非法访问,并保护虚拟硬件和存储设备的安全。
LINUX核心实施强制访问控制.pdf
09-07
Linux操作系统中,强制访问控制(MAC)是一种增强安全性的机制,它超越了传统的用户权限管理,确保系统资源的访问受到严格的策略约束。在标题和描述中提到的PDF文档,主要探讨了如何在Linux内核中实现MAC,以及这...
基于强制访问控制的安全Linux系统设计与实现.pdf
09-06
强制访问控制(MAC)与安全Linux系统设计】 强制访问控制(Mandatory Access Control, MAC)是一种严格的权限管理机制,它规定了系统中的主体(如用户、进程)只能按照预设的规则访问客体(如文件、设备)。MAC...
Linux中的强制访问控制Selinux
qq_34267076的博客
09-03 3257
(工作当中都是默认关闭的) SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) SELinux的作用
linux系统之selinux设置。
热门推荐
shang_feng_wei的博客
04-20 1万+
1、SELinux SELinuxLinux 内核中提供的强制访问控制系统。selinux有disabled、permissive、enforcing 三种选择: Disabled :不启用控制系统。 permissive:开启控制系统,但是处于警告模式。即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。 Enforcing:开启控制系统,处于强制状态。一旦违反了策略,就无法继续...
SELinux Linux访问控制 (MAC)系统
cnbird's blog
10-06 2225
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。开发语言: C/C++ 项目主页: http://www.
Linux强制访问控制selinux讲解
雷雪松
04-06 899
SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。有些问题可能就因为这个引起的。查看SELinux状态: 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled 2、getenforce ##也可以用...
linux的安全上下文
qq_41961805的博客
01-26 2731
什么是安全上下文? 安全上下是一个访问控制属性,是selinux中的重要组成部分,在进行移动时,不会改变文件的属性和权限,而复制的过程会改变文件的属性,而安全上下文是一个访问的凭证,特定的文件被特定的程序访问,安全上下文会关闭系统认为不安全的功能,当安全上下文相匹配时才允许访问。 安全上下文的作用 vim /etc/sysconfig/selinuxselinux改为enforcing模式...
SELinux强制访问控制系统应用
weixin_34179762的博客
04-20 2286
几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中强制性访问控制系统(MAC)了,在刚接触Linux的时候我们会遇到因为SELinux控制出现的问题,接下来我来初步揭开SELinux的神秘面纱:...
闲话Linux系统安全(二)——强制访问控制(MAC)
weixin_34242819的博客
07-10 1591
安全秘笈第二式——不安全的特殊权限和强制访问控制(MAC)在DAC的机制中,不管是所有权加权限的管理办法,还是文件系统访问控制列表(facl),都是非常强大的访问控制机制,均可以对文件资源进行比较有效的访问控制。但DAC的自主性太强,可以说文件资源的安全在很大的程度上取决于使用者个人的意志,因此这种安全似乎就被主观化了。尤其是对于root用户而言,不管是权限和所有权的限制,还...
Linux桌面需要强制访问控制,RHCSA 系列(十三): 在 RHEL 7 中使用 SELinux 进行强制访问控制...
weixin_33651906的博客
05-10 273
RHCSA 认证:SELinux 精要和控制文件系统的访问尽管作为第一级别的权限和访问控制机制是必要的,但它们同样有一些局限,而这些局限则可以由安全增强 Linux(Security Enhanced Linux,简称为 SELinux)来处理。这些局限的一种情形是:某个用户可能通过一个泛泛的 chmod 命令将文件或目录暴露出现了安全违例,从而引起访问权限的意外传播。结果,由该用户开启的任意进程...
Citadel Groupware Server加入SELinux强制访问控制支持
1. 强制访问控制(MAC):SELinux通过强制访问控制策略,将权限控制在最小范围内,即只允许用户进行其任务所必需的最少操作。 2. 基于角色的访问控制(RBAC):用户和进程可以被赋予不同的角色,这些角色决定了他们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值