Linux SELinux讲解

这篇具有很好参考价值的文章主要介绍了Linux SELinux讲解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

SELinux概念

SELinux配置文件

SELINUX 工作模式

SELINUX TYPE策略类型

配置安全上下文

查看安全上下文

修改安全上下文

修改默认的安全上下文

配置策略规则

查看策略规则

修改策略规则状态


SELinux概念

为什么提出SELinux

之前学习的权限,都是基于用户的(所有者、所有组、其它用户),只有当该用户针对某个文件或者目录具备相应的rws权限之后,才可以做相应的操作

此时系统管理员无法通过基于用户的标准访问策略(DAC)生成全面、精细的安全策略

此时就需要通过SELinux来实现

SELinux简介

SELinux实施强制访问控制(MAC),SELinux对每个文件、进程、目录、端口都有专门的安全标签,此标签被称为安全上下文;

SELinux就是基于进程安全上下文和文件/目录的安全上下文来实现策略控制

即:只有当文件/目录的安全上下文类型和进程的安全上下文类型符合时,该进程才可以对文件/目录做相应的操作

SELinux作用

SELinux主要目标是防止已遭泄露的系统服务(进程)访问用户数据(文件/目录)

增强现有的安全解决方案

使用SELinux策略来确定某个进程能够访问文件、目录、端口

注意事项

SELinux并不是防病毒软件、并不能够用来替代密码、防火墙和安全系统

SELinux的访问策略可以基于所有的可用信息(SELinux用户、角色、类型、安全级别等)

selinux,Linux,linux,服务器,运维


SELinux配置文件

SELinux的主配置文件:/etc/selinux/config

selinux,Linux,linux,服务器,运维

SELINUX 工作模式

ebforcing  强制模式(默认模式)

启用SELinux,并强制执行所有的安全策略规则

permissive 宽容模式

启用SELinux,但是安全策略规则并没有强制执行(即;当策略拒绝访问时,访问仍然可以被允许,但是会发送相关日志信息)

disabled   关闭模式

关闭SELinux,使用DAC访问控制方式(用于不需要增强安全性的环境)

注意事项

当从强制或者宽容模式切换到关闭模式,或从关闭模式切换到其它两种模式,需要重启系统

强制和宽容模式之间的切换不需要重启系统

修改工作模式

可以直接在配置文件修改,也可以使用命令修改

命令修改为临时切换,配置文件修改为永久切换

setenforce 0  切换到宽容模式

                1  切换到强制模式

getenforce    查看selinux工作模式

selinux,Linux,linux,服务器,运维

SELINUX TYPE策略类型

策略类型决定了使用那种策略规则来执行进程(主体)可以访问的文件或目录资源(目标)

target

主要对系统中的服务进程进行访问控制

可以限制其它进程和用户

minumum

与Target类似,只不过此策略允许SELinux在不消耗过多资源的情况下运行

一般在低内存设备上使用(相比于target可以选择部分进程进行访问控制)

mls

自定义级别,对进程做访问控制

可以对所有进程做控制

修改策略类型

直接在配置文件修改

sestatus                          查看selinux状态(包含策略类型)


配置安全上下文

查看安全上下文

ls -Z  文件          查看文件的安全上下文

ls -dZ 目录            查看目录的安全上下文

ps auxZ | grep 进程     查看进程的安全上下文

selinux,Linux,linux,服务器,运维

 

字段讲解

安全上下文字段通过:分隔,分为4个字段

用户字段:角色字段:类型:灵敏度

SELinux用户

seinfo -u  列出SELinux中所有的身份

用于标识该数据被哪个身份所拥有(相当于权限中的用户身份)

 unconfined_u :不受限的用户,不受SELinux限制的进程所产生的文件大部分就是此用户

 system_u:     系统用户,大部分就是系统自己产生的文件

selinux,Linux,linux,服务器,运维

 

角色字段

seinfo -r   列出SELinux所有的角色

用于表示此数据是进程还是文件/目录

 object_r: 代表的时文件/目录资源

 system_r:代表的就是进程

selinux,Linux,linux,服务器,运维

 

类型

seinfo -t   列出SELinux所有的类型

安全上下文最重要的字段,决定着进程是否可以访问文件

在文件/目录的安全上下文中被称为类型,在进程的安全上下文中被称为域

只有主体(进程)的域与目标(文件/目录)的类型匹配时,才可以正常访问

selinux,Linux,linux,服务器,运维

修改安全上下文

chcon命令

chcon -t 文件/目录   修改文件/目录的类型字段

-u  修改安全上下文的身份字段

-r   修改安全上下文的角色字段

       -R   对当前目录和目录下的所有文件同时设置

restorecon命令

restorecon -Rv 文件/目录  恢复文件默认的安全上下文

       -R   对当前目录和目录下的所有文件同时设置

       -v   显示恢复过程

修改默认的安全上下文

只有系统默认目录才有默认的安全上下文,对于新创建的目录,我们需要手工指定默认安全上下文

semange fcontext -l  查询所有的安全上下文

       -t    设定默认安全上下文的类型

       -m  修改文件/目录的默认安全上下文

       -a   添加默认安全上下文

       -e  将此文件的/目录的类型复制给另一个文件/目录

semange fcontext -a -t 类型              文件/目录 为文件/目录添加默认的安全上下文类型

semange fcontext -a -e 文件1 文件2  将文件2默认的安全上下文改为此文件1的类型

semange port -a -t http_port_t -p tcp 82 为http_port_t类型添加tcp的82端口


配置策略规则

查看策略规则

查看规则名称

seinfo -b                         查看当前策略下的具体规则名称

selinux,Linux,linux,服务器,运维

 

查看具体规则内容

sesearch --allow -b 规则名       查看此规则名下的允许规则具体内容

sesearch –allow -s 主体的域     查看和指定主体的类型相关的规则(允许的)

sesearch –allow -t 目标的类型    查看和目标的的类型相关的规则(允许的)

              --allow        显示允许的规则

              --neverallow 显示从不允许的规则

selinux,Linux,linux,服务器,运维

selinux,Linux,linux,服务器,运维

修改策略规则状态

getsebool 规则名     查看此规则是否开启

getsebool -a          查看所有规则是否开启

setsebool -P 规则名=0  将此规则关闭(1表示开启)

              -P 表示永久生效

selinux,Linux,linux,服务器,运维文章来源地址https://www.toymoban.com/news/detail-599117.html

到了这里,关于Linux SELinux讲解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux系统——SElinux

    目录 前言 一、SELinux 的作用及权限管理机制  1.SELinux 的作用 1.1DAC 1.2MAC 1.3DAC 和 MAC 的对比 2.SELinux 基本概念 2.1主体(Subject) 2.2对象(Object) 2.3政策和规则(Policy Rule)  2.4安全上下文(Security Context) 2.4.1安全上下文的结构及含义 2.5SELinux 的工作模式 3.SELinux 基本操作 3.1查

    2024年03月13日
    浏览(36)
  • 16.5 【Linux】SELinux 初探

    SELinux是“ Security Enhanced Linux ”的缩写,字面上的意义就是安全强化的 Linux。 当初设计的目标:避免资源的误用 SELinux 是由美国国家安全局 (NSA) 开发的,当初开发这玩意儿的目的是因为很多企业界发现, 通常系统出现问题的原因大部分都在于“内部员工的资源误用”所导

    2024年02月12日
    浏览(29)
  • Linux安全之SELinux理解

    安全增强式 Linux ,即 SELinux (Security-Enhanced Linux)是一个   Linux   内核的安全模块,其提供了访问控制安全策略机制,包括了强制访问控制 (Mandatory Access Control,MAC)。 SELinux  是一组内核修改和用户空间工具,已经被添加到各种  Linux  发行版中。其软件架构力图将安全决策的执

    2024年02月04日
    浏览(32)
  • Linux系统开启或关闭SELinux。

    SELinux(Security-Enhanced Linux)是一个强制访问控制(MAC)机制,用于对 Linux 操作系统进行更加细粒度的访问控制,可防范许多攻击方式。 但在某些情况下,SELinux 可能会对系统运维和软件开发造成一些麻烦。 因此,在某些情况下,需要关闭或开启SELinux。 本文将详细介绍如何在

    2024年02月03日
    浏览(35)
  • Linux -------------------设置防火墙和SELinux

            防火墙的概念:防火墙是一种非常重要的网络安全工具,它是网络安全的重要组成部分,用于保护计算机网络免受未经授权的访问、恶意攻击和数据泄漏等威胁等。 防火墙通常具备以下几个特点。           位置权威性: 网络规划中,防火墙必须位于网络的

    2024年02月06日
    浏览(49)
  • 运维 | 查看 Linux 服务器 IP 地址

    大多数在操作 Linux 系统时,我们经常需要知道服务器的 IP 比便于后续的一系列操作,这时候有快速查看主机 IP 的命令行操作,能够有效的帮助我们 本章节主要记录一些常用查看服务器 IP 的命令,希望对大家有所帮助。 查看 Linux 服务器的 IP 地址的命令大体上有以下几种。

    2024年04月27日
    浏览(76)
  • 【Android】SElinux(Security-Enhanced Linux)

    作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序

    2023年04月13日
    浏览(33)
  • 【运维】Linux 跨服务器复制文件文件夹

    如果是云服务 建议用内网ip scp是secure copy的简写,用于在Linux下进行远程拷贝文件的命令,和它类似的命令有cp,不过cp只是在本机进行拷贝不能跨服务器,而且scp传输是加密的。可能会稍微影响一下速度。当你服务器硬盘变为只读 read only system时,用scp可以帮你把文件移出来

    2024年02月08日
    浏览(66)
  • Linux中SELinux三种模式的启动、关闭与查看

    目前SELinux依据启动与否,共有三种模式,分别如下: Enforcing :强制模式,代表SELinux运行中,且已经正确开始限制domain/type Permissive :宽容模式,代表SELinux运行中,不过仅会有警告信息并不会实际限制domain/type的读写(这种模式可以用来作为SELinux的debuug之用) Disabled :关闭

    2024年02月05日
    浏览(32)
  • Linux Centos-7 关闭selinux。(临时关闭和永久关闭)

    1.查看 selinux 状态,打开终端,输入getenforce,回车,显示Enforcing。 getenforce 2.临时关闭,在终端输入setenforce 0。 setenforce 0 3.永久关闭,在终端输入vim /etc/selinux/config,回车, vim /etc/selinux/config (1)向下箭头, 选到SELINUX=enforcing这一行, 键盘摁I键, 进入插入状态, (2)将

    2024年02月13日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包