浅谈SELINUX

最新推荐文章于 2025-06-10 15:38:30 发布
原创 最新推荐文章于 2025-06-10 15:38:30 发布 · 390 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Linux #selinux

SELinux是NSA开发的Linux安全模块,提供灵活的强制访问控制,防止黑客利用漏洞获取ROOT权限。它定义了系统中用户、进程、应用和文件的访问权限,并通过安全策略控制交互。SELinux有三种模式:强制、警告和关闭。可通过修改配置文件或命令行切换模式。使用ls -Z查看SELinux标签,用chcon和restorecon命令修改文件标签。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

浅谈selinux

SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。

##SELINUX概述

关闭SELINUX或没有添加SELINUX的情况下,系统更易遭到入侵并造成极大的影响。因为黑客若利用安全漏洞获取到ROOT权限,则可以随意访问任何文件系统并可以进行任何操作,这是非常可怕的,尤其是对一些保密单位、银行、企业等。
******SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。
****** Linux中一切皆文件,由用户、组、权限控制访问。而在SELinux中一切皆对象(object),由存放在inde表的扩展属性域的安全元素所控制其访问。

##SELINUX查看及相关配置
1.vim /etc/selinux/config/ 即查看SELINUX配置文件
](https://img-blog.csdnimg.cn/20181220174449322.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDA2NDA1Ng==,size_16,color_FFFFFF,t_70)
SELINUX共有三种模式,如图的高亮部分
(1) enforcing : 强制模式 。强制(一定会生效)违反策略的行动都会被禁止.
(2) permissive:警告模式。 允许进行违反策略的操作,但所有违反selinux的操作都会被记录下来
(3) disable: 关闭模式。 禁用SELINUX,类似于没有selinux功能的系统
可以通过直接修改配置文件的方式来修改SELINUX的值以达到目的,也可以在命令行修改SELINUX,但是命令行只能修改前两种selinux的值,若要禁用SELINUX,还需要修改配置文件。
2. 命令行中修改SELINUX
可以通过getenforce命令获取当前SELINUX的值(要实现关闭模式请修改配置文件),我获取到的SELINUX的值为enforcing。
再通过setenforce 0 来修改selinux为警告模式,可以再通过getenforce查看,此时selinux的值已经变为permissive,即警告模式。
如图所示
3.通过ls -Z 命令来查看selinux标签
SELINUX标签共有四部分,如图高亮表示,每部分用:隔开
system_u:即system_u表示系统进程,通过用户可以确认身份类型,一般搭配角色使用,user_u表示普通用户无特权用户。
object_r:即表示文件目录的角色,system_r表示系统进程的角色
admin_home:文件和进程都有一个类型,SElinux依据类型的相关组合来限制存取权限。
selinux给系统中每个文件和进程都分配了SELINUX标签,若标签和用户、进程、文件等符合,则可以执行相关操作。另,移动文件的标签不变,复制文件的标签会发生改变。
4.修改文件的SELinux标签的命令:chcon 和 restorecon

chcon 命令

chcon - ******change file SELinux security context修改文件安全属性
更改文件的selinux安全上下文件
用法:
chcon [option]… context /path/to/file… #直接对指定的文件写完整的安全上下文字段
chcon [option]… --reference=RFILE FILE… #参考RFILE的上下文修改FILE的上下文
-R :如果是目录,将同时递归设置该目录下所有文件
restorecon 命令
restorecon ********- restore file(s) default SELinux security contexts.
恢复文件或目录默认的SELinux安全上下文,可以通过-R递归,即实现某个目录下所有文件标签的恢复。

selinux 标签_了解容器运行时的SELinux标签
cumo3681的博客
06-30 848
selinux 标签 最近,我通过电子邮件回答了有关SELinux和容器运行时的问题。 之后,我意识到其他人可能会对同一个主题感到疑惑,所以我决定将答案变成一篇针对Opensource.com的文章,希望我可以帮助其他有相同问题的人。 电子邮件开始了: “ Dan,几年前您很乐意回答我的SELinux问题,我希望您仍然在从事这个行业。” 尽管我现在是Red Hat的容器团队的负责人,并且...
linux 文件添加标签,SELinux——有趣的标签
weixin_29131709的博客
04-29 2138
·配置SELinuxSELinux是否启用给文件重新打标给端口设置安全标签设定某些操作的布尔型特性SELinux的日志管理1、SELinux的状态:·enforcing:强制,每个受限的进程都必然受限·permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志·disabled:关闭·相关命令:sestatus查看selinux的状态getenforce:获取当前seli...
浅谈selinux
qwqq233的博客
02-13 185
selinux------>内核级加强型防火墙 1.selinux简介 selinux(安全增强型linux防火墙):内核级的加强型防火墙,内核上的插件,改变后需要重启 为每个服务设定开关(bool布尔值控制)文件上的标签和所能访问的服务的标签值不同,则无法访问 是可以保护系统安全性的额外机制,在某种程度上,他可以被看作是与标准权限系统并行的权限系统 在常规模式中,以用户身份运行进程,并且系...
linux命令行优缺点,SELinux详解及其优缺点
weixin_39609354的博客
04-28 721
SELinux简介:SELinux:Secure Enahanced Linux安全增强的LinuxSELinux是2.6版本的Linux内核中提供的强制访问控制(MAC)系统。对于目前可用的Linux安全模块来说,SELinux是功能最全面,而且测试最充分的,它是在20年的MAC研究基础上建立的。SELinux在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念...
新增app添加selinux定义及标签
最新发布
淘气包的博客
06-10 228
新增system/sepolicy/prebuilts/api/34.0/private/test_app.te和system/sepolicy/private/test_app.te文件,新增如下内容test_app.x509.pem从编译test_app的key中提取,放入build/make/target/product/security中</package></signer>
SELinux
su_chao的博客
05-16 533
SELinux的介绍是美国国家安全局)和SCC)开发的Linux的一个强制访问控制的安全模块DAC:自由访问控制自由访问控制早期,有管理员设置MAC:强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制的策略被用来定义被限制的进程能够使用那些资源(文件和端口)默认情况下,没有被明确允许的行为将被拒绝SELinux的有四种工作类型:(不同版本不同类...
浅谈SElinux及httpd服务打不开指定页面(显示httpd服务程序默认首页面)的问题
m0_46314654的博客
10-31 1649
先来做个实验 修改httpd网站数据保存目录【默认为/var/www/html 修改为 /home/wwwroot】1.建立目录,并创建首页文件 mkdir /home/wwwroot echo "BB" > /home/wwwroot/index.html 2.修改httpd主配置文件。 将119行DocumentRoot参数改为/home/wwwroot 将124行用于定义目录权限参数Directory 改为/home/wwwroot vim /etc/httpd/conf/httpd...
Oracle_RAC原理浅谈
09-02
在安装Oracle RAC的Linux环境中,为了确保系统的稳定运行,通常需要关闭防火墙和SELinux,因为它们可能对集群间的通信造成干扰。同时,配置环境变量时需要注意字符格式,避免因配置错误导致的问题。 在系统冗余方案...
浅谈云计算12 | KVM虚拟化技术
时光札记
01-14 2024
KVM,即基于内核的虚拟机(Kernel - based Virtual Machine),是一种基于Linux内核实现的开源虚拟化技术,从Linux 2.6.20版本开始被合入kernel主分支维护。它将Linux内核转变为一个虚拟机监控程序(Hypervisor),使得主机计算机能够运行多个隔离的虚拟环境,即虚拟机(VM)。在这种架构下,KVM本身主要负责虚拟CPU和内存的管理,而设备模拟等功能则由用户态的QEMU(Quick Emulator)来实现。
浅谈Docker安全机制内核安全与容器之间的网络安全 <font color=red>原创</font>
09-30
尽管cgroups和namespaces为Docker提供了基本的内核安全,但仍然存在一些尚未隔离的系统资源,比如/proc和/sys文件系统、SELinux安全策略、时间、日志和某些设备文件等。这些未隔离资源可能成为潜在的安全威胁,需要...
Linux内核漏洞利用技术浅谈
# 1. Linux内核漏洞概述 ## 1.1 什么是Linux内核 Linux内核是操作系统的核心组件,负责管理系统资源、提供与硬件交互的接口,并调度程序运行。作为开源项目,Linux内核具有高度灵活性和可定制性,被广泛应用于...
sesu linux修改主机名称以及DB2
07-31
sesu linux修改主机名称,以及修改DB2配置信息
sesu linux FTP安装步骤图文教程
09-15
suse linux 默认没有安装FTP服务
SElinux学习总结
csdnlb的博客
10-29 272
文章目录概念SELinux模式安全上下文布尔值例子监控SELinux冲突 概念 SELinux:【Security-Enhanced Linux】安全增强式Linux,是一个Linux内核的安全模块,其提供了访问控制安全策略机制。SELinux是可保护你系统安全性的额外机制,在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置...
linux selinux策略管理与标签
爱死亡机器人
03-24 6764
1. selinux 策略 #打开80/tcp 、443/tcp端口 firewall-cmd --permanent --add-service=http --add-service=https firewall-cmd --reload 文件系统权限:任何DocumentRoot必须由apache用户或用户组读取,大部分情况下,不允许apache用户或组写入。 selinux:默认selinux策略会限制httpd读取上下文,web服务器默认上下文是httpd_sys_content_t semana
关于linux下的selinux
qq_45594312的博客
11-15 192
1.selinux的概念 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统 SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到 SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并...
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统中,Security Enhanced LinuxSELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值