SELinux介绍

最新推荐文章于 2023-09-27 17:37:53 发布
最新推荐文章于 2023-09-27 17:37:53 发布
阅读量114 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zerocdn/article/details/93498608

SELinux介绍

SELinux:Security-Enhanced Linux, 是美国国家安全局(NSA=The
National Security Agency)和SCC(Secure Computing Corporation)开发的
Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核
2.6版本后集成在内核中
DAC:Discretionary Access Control自由访问控制
MAC:Mandatory Access Control 强制访问控制
DAC环境下进程是无束缚的
MAC环境下策略的规则决定控制的严格程度
MAC环境下进程可以被限制的
策略被用来定义被限制的进程能够使用那些资源(文件和端口)
默认情况下,没有被明确允许的行为将被拒绝

启用禁用的配置文件
/etc/selinux/config中SELINUX=####
有3种状态
enforcing - 强制执行
permissive - 只警告不执行
disabled - 禁用
修改配置文件要重启

SELINUXTYPE=####
SE生效类型
targeted:通常只用这个,SE能识别出来的目标进程则保护,不认识的不管
minimum
mls

切换模式
setenforce 0 切换到permissive模式
setenforce 1 切换到enforcing模式

查看命令
获取SE状态:getenforce
查看SE当前信息:sestatus
查看文件上的SELINUX信息:ll -Z name

ll -Z aa1
-rw-r--r--. root root system_u:object_r:default_t:s0 aa1
文件标签是default_t,只有允许访问default_t标签文件的进程才可以访问此文件

修改文件标签:chcon -t #### file

从数据库中还原标签:restorecon ####
加R递归文件夹

SE安全上下文管理
semanage fcontext -l 查看安全上下文
semanage fcontext -a -t ### ‘/data/test(/.*)?’ 添加新安全上下文,正则表达式匹配目录下的文件
semanage fcontext -d -t ### ‘/data/test(/.*)?’ 删除标签,正则表达式匹配目录下的文件
semanage port -l 查看端口
semanage port -a -t #### -p tcp 999 为####添加999端口使用权
semanage port -m -t ###2 -p tcp 999 修改999端口给###2使用
999端口已经被使用的情况下才能用m修改
getsebool -a 查看布尔值列表
semanage boolean -l 查看布尔值列表,带说明
setsebool 修改布尔值,加-P 保存,-C查看修改过的

Linux查看内核和系统版本信息
7me
08-07 3232
Linux查看内核版本四种方式和查看系统版本信息三种方式
selinux介绍
最新发布
x_SpiderMan的博客
11-30 826
selinux(强化的linux)传统的文件权限与账号的关系:自主访问控制,DAC;以策略规则制定特定程序读取特定文件:强制访问控制,MACSELinux是通过MAC的方式来控制管理进程,它控制的主体是进程主体(subject):就是进程目标(object):被主体访问的资源,可以是文件、目录、端口等。策略(policy):由于进程与文件数量庞大,因此SELinux会依据某些服务来制定基本的访问安全策略。
SELinux 介绍
weixin_42136255的博客
09-27 217
SELinux 介绍
selinux 介绍
老鹰不捉小鸡
06-13 983
DAC和MAC的区别:DAC核心思想:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限 ...
Android SELinux介绍和配置
fanx9339的博客
06-22 4928
SELinux是什么? SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为每一个进程,每一个文件,每一个属性都定义了标签,用来控制进程对文件的操作的权限控制!在安卓里面,SELinux有三种状态: enforce模式:强制模式,必须有配置权限才能执行相应的访问/操作permissive模式:宽容模式,打印记录出现的越权行为,但是不禁止该访问/操作disable:关闭模式,关闭SELinux,不受SELinux权限控制...
linux SELinux介绍
Stouy的博客
05-27 358
SELinux介绍     SELinux: Secure Enhanced Linux, 是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的 Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中    DAC:Discretiona...
Selinux介绍
weixin_33801856的博客
09-18 161
一、SElinux(Secure Enhanced Linux):安全增强的Linux SElinux是一个在内核中实践的强制访问控制(MAC)安全性机制,由美国国家安全局NSA(The National Security Agency)和SCC(SecureComputing Corporation的)开发的针对计算机基础结构安全开发的一个全新的Linux安全策...
SELinux介绍.pdf
06-22
本文档详细介绍SELinux系统,并且详细讨论了在android平台上应该如何配置SELinux规则 SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为...
Selinux介绍和设置
05-27
SELinux(Security-Enhanced Linux)是一个Linux内核的安全模块,提供了灵活而强大的强制访问控制(MAC)安全策略框架。SELinux主要用于Linux系统中对进程、文件、目录以及网络端口进行访问控制。 一、SELinux的三...
iptables NAT表之SNAT、DNAT、REDIRECT介绍
zerocdn的博客
03-22 7631
iptables NAT表之SNAT、DNAT、REDIRECT介绍 NAT: network address translation PREROUTING,INPUT,OUTPUT,POSTROUTING 请求报文:修改源/目标IP,由定义如何修改 响应报文:修改源/目标IP,根据跟踪机制自动实现 SNAT SNAT:source NAT POSTROUTING, INPUT 让本地网络中的主...
LINUX目录结构,用户、用户组管理及文件权限、文件属主与属组管理
zerocdn的博客
05-08 4423
1、描述linux目录结构以及目录结构命名规定 目录都是按照一定的类别有规律的命名。 使用tree -L 1/ 查看根目录 [root@localhost ~]#tree -L 1 / / 根目录 ├── bin -> usr/bin 基本命令的目录(二进制可执行文件) ├── boot 系统启动引导文件 ├── data 这是自定义的目录命 ├── dev 磁盘/光驱挂载目录 ├── e...
Docker使用阿里云镜像仓库、Harbor介绍和使用、Harbor自动同步镜像
zerocdn的博客
11-26 4345
Docker使用阿里云镜像仓库 这里用阿里云的镜像仓库 使用前准备 登录阿里云找到容器镜像服务,先创建一个命名空间然后就可以创建镜像仓库 得到仓库地址后可以开始使用 上传镜像 1.使用命令先登录 docker login --username=阿里云用户名 registry.cn-hangzhou.aliyuncs.com 输入密码后显示Login Succeeded说明登录成功 2.按照阿里云要求给镜像打包一个TAG docker images查询结果如下 REPOSITORY TAG
firewalld介绍、rich规则、伪装和端口转发
zerocdn的博客
03-23 3323
iptables自定义链使用 自定义链可以模块化iptables规则,在有大量规则的情况下可以分开存放,便于管理。需要修改时不用修改主链 新建一个test链 iptables -N TEST 添加规则 iptables -A TEST -s 192.168.1.0/24 -j ACCEPT iptables -A TEST -j REJECT 添加引用 iptables -I INPUT 2...
KeepAlived介绍、配置示例、KeepAlived配置IPVS、调用脚本进行监控
zerocdn的博客
03-30 2385
KeepAlived介绍 keepalived: vrrp协议的软件实现,原生设计目的为了高可用ipvs服务 vrrp协议: Virtual Router Redundancy Protocol 功能: vrrp协议完成地址流动 为vip地址所在的节点生成ipvs规则(在配置文件中预先定义) 为ipvs集群的各RS做健康状态检测 基于脚本调用接口通过执行脚本完成脚本中定义的功能,进而影响集群事务,...
zabbix监控MYSQL、自定义监控端口脚本、批量安装agent并监控nginx、微信通知
zerocdn的博客
11-26 2162
zabbix监控MYSQL 1.安装MYSQL并设置好主从 2.安装procona 下载地址:https://www.percona.com/downloads/ 安装配置文档:https://www.percona.com/doc/percona-monitoring-plugins/LATEST/zabbix/index.html#installation-instructions 下载 percona-zabbix-templates-1.1.8-1.noarch.rpm 安装 3.编辑配置文件 复
Docker资源限制、数据卷和数据卷容器、容器互联、跨主机互联、创建自定义网络、Docker compose简单使用介绍
zerocdn的博客
12-07 1628
Docker资源限制 默认情况下,容器没有资源限制,可以使用系统所有资源。docker 通过 docker run 配置容器的内存,cpu, 磁盘io使用量。 其中许多功能都要求内核支持Linux功能。 要检查支持,可以使用docker info命令。 如果内核中禁用了某项功能会在输出结尾处看到警告,如: WARNING: No swap limit support 内存限制: 对于Linux 主机,如果没有足够的内容来执行重要的系统任务,将会抛出 OOM 或者 Out of Memory Exceptio
实战记录——Centos使用squid搭建带用户认证的高匿HTTP代理服务
zerocdn的博客
12-04 1560
1.安装相关包 带用户认证需要用到httpd-tool yum install -y squid httpd-tool 2.生成密码文件 使用 htpasswd 命令生成密码文件,默认是MD5的格式,可以用选项改其他格式 命令格式: htpasswd [选项] 文件名 用户名 常用选项 -c 创建新文件,如果没加此选项会把新增的用户添加在末尾 -2 SHA-256格式的密码 -5 SHA-512格式的密码 -B bcrypt格式的密码 -d CRYPT格式的密码 -s SHA-1格式的密码 示例: ht
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值