超级会员免费看
SELinux是Linux的一个内核模块和安全子系统,由美国国家安全局开发,旨在通过最小权限原则限制服务进程的资源访问。本文介绍了SELinux的作用、DAC与MAC权限管理机制,并详细讲解了其基本概念,包括主体、对象、政策和规则、安全上下文等。同时,提供了查询和修改安全上下文、管理布尔型规则的方法,以及如何分析和解决SELinux错误。
一、前言
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。
SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。
如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可以到达"坚不可摧"的地步了(请永远记住没有绝对的安全)。
掌握 SELinux 的基本概念以及简单的配置方法是每个 Linux 系统管理员的必修课。
本文均在 CentOS 7.4.1708 系统中操作。
本文纯属个人学习经验分享交流,出错再所难免,仅供参考!如果发现错误的地方,可以的话麻烦指点下,特别感谢!
二、SELinux 的作用及权限管理机制
2.1 SELinux 的作用
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
设想一下,如果一个以 root 身份运行的网络服务存在 0day 漏洞,黑客就可以利用这个漏洞,以 root 的身份在您的服务器上为所欲为了。是不是很可怕?
SELinux 就是来解决这个问题的。
2.2 DAC
在没有使用 SELinux 的操作系统中,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。
只要访问这个资源的进程符合以上的条件
订阅专栏 解锁全文
扫一扫
2000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
