了解SELinux

最新推荐文章于 2025-08-08 20:58:41 发布
原创 最新推荐文章于 2025-08-08 20:58:41 发布 · 476 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

了解SELinux

1. SELinux 概述

  • 定义:SELinux(Security-Enhanced Linux)即安全增强型Linux,是由美国国家安全局(NSA)开发的安全机制。

  • 背景

    • 传统Linux采用自主存取控制(DAC),仅通过文件权限控制访问,存在安全隐患(如SUID/SGID特殊权限滥用、错误配置导致漏洞)。
    • SELinux引入强制存取控制(MAC),要求操作同时满足DAC(文件权限)和MAC(SELinux策略)才能执行,否则被拒绝。

  • DAC与MAC的区别

    • DAC(自主访问控制):主体是用户,访问权限由文件自身权限决定。
    • MAC(强制访问控制):主体是程序,访问权限由文件权限和SELinux安全策略共同决定。

2. SELinux 原理与特点

  • 核心原理:基于强制访问控制机制,在传统权限基础上定义各类安全类型,类型不匹配则拒绝访问。
  • 主要特点
    1. 为所有对象(文件、进程等)设置安全上下文标签(context值)。
    2. 访问控制同时依赖普通文件权限和SELinux安全策略。

3. SELinux 安全策略

  • 三种策略
    • targeted:默认策略,适用于RHEL系统,仅对关键服务(如Apache、MySQL)进行限制。
    • minimumtargeted的简化版,限制更少。
    • mls:多级安全策略,安全性极高但配置复杂。

4. SELinux 运行模式

  • 配置文件/etc/sysconfig/selinux(与/etc/selinux/config为软链接)。

    在这里插入图片描述

  • 三种模式

    1. enforcing:强制模式(默认),违反策略的操作会被阻止并记录。
    2. permissive:警告模式,仅记录违反策略的操作但不阻止,用于排查问题。
  1. disabled:禁用SELinux(需重启生效)。
  • 模式管理命令
    • 查看当前状态:getenforce
    • 临时切换模式:setenforce [0|1](0=Permissive,1=Enforcing)

5. SELinux 安全上下文(Context)

  • 组成:用户(u)、角色(r)、类型识别符(t)(核心为类型t)。

  • 查看上下文

    • 文件:ll -Z /path/to/file
    • 目录:ll -ldZ /path/to/directory

  • 修改上下文

    • 临时修改:chcon -t [类型] /path/to/object(如chcon -t tmp_t file
    • 恢复默认:restorecon -v /path/to/object(根据策略恢复)

  • 永久修改上下文

    1. 添加规则:semanage fcontext -a -t [类型] "/path(/.*)?"(/.*)?表示包含子目录)
    2. 应用规则:restorecon -RFv /path(-R递归,-F强制)

  • 标签修复

    • 当标签混乱时:touch /.autorelabel(重启后自动重新标记所有文件)
    • 或先禁用SELinux重启,再启用重启。

6. SELinux 布尔开关(Boolean)

  • 管理命令
    • 查看所有开关:getsebool -a
    • 查看开关说明:semanage boolean -l
    • 修改开关:

      • 临时:setsebool [开关名] [on|off](如setsebool ftpd_full_access on

      • 永久:setsebool -P [开关名] [on|off](-P保存到配置)

        setsebool -P ftpd_full_access on

7. SELinux 端口标记

  • 管理命令

    • 添加端口标签:semanage port -a -t [端口类型] -p [tcp|udp] [端口号]

      -a -t http_port_t -p tcp 8910

    • 查询端口标签:semanage port -l | grep [端口号]

      semanage port -l | grep 8910

    • 修改端口标签:semanage port -m -t [新类型] -p [协议] [端口号]

      semanage port -m -t pegasus_http_port_t -p tcp 8910

    • 删除端口标签:semanage port -d -t [类型] -p [协议] [端口号]

      semanage port -d -t pegasus_http_port_t -p tcp 8910

-d -t [类型] -p [协议] [端口号]`

如`semanage port -d -t pegasus_http_port_t -p tcp 8910`
Akshsjsjenjd
关注
Android SELinux——工作模式(二)
小旭的专栏
10-10 1278
SELinux 提供了三种不同的工作模式,每种模式都有其特定的目的和使用场景。这里我们就来介绍这三种模式的使用场景。
深入了解SELinux
Winston
11-03 3223
前言: 本篇blog主要从SELinux历史、DAC和MAC、SELinux运行框图(混合模式)、Apache的例子(Legacy and SELinux)、SELinux Mode、SEPolicy文件结构、SELinux Policy语言介绍,这7个方面,让大家对selinux有整体的了解。 一、SELinux历史 SEAndroid是Google在Android 4.4上正式推
一文了解Android SELinux
执剑人
11-04 1793
SELinux在Android系统中起到了重要的安全防护作用。通过强制访问控制,SELinux能够有效限制应用的权限,防止未经授权的访问。开发者可以通过配置策略文件和调试日志,精确地管理应用的权限和访问范围,从而确保系统的整体安全性。
初步了解 selinux
peak的博客
08-09 315
1.简介: SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是基于内核级的系统安全防护,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enter
简单了解selinux
weixin_34096182的博客
03-24 74
selinux,是保护文件非法被访问的。1,它有3种模式: 关闭 : 只能改配置文件/etc/selinux/config 路过 : setenforce 0 开启 : setenforce 1 2,开启之后还有3种模式:一般 最小化 全部...
Linux --- 了解 SELinux
陳Huid的博客
08-29 236
SELinux 全称为 Security-Enhanced Linux 是美国国家安全局在Linux社区帮助下开发的一个强制访问控制的安全子系统,SELinux属于MAC强制访问控制(让系统中的各个服务进程都受到约束,仅能访问到所需要的文件。) SELinux 的三种模式:(有时关闭SELinux后确实能够减少报错几率,导致该功能在很多服务器中直接被禁用) ①enforcing :安全策略强制...
SELinux
AI工程化、开源分享、文档翻译、代码笔记
04-27 838
关于 SELinux 概述 SELinux 是如何工作的? 如何配置 SELinux SELinux 标签和类型强制 启用 SELinux 自主访问控制 (DAC) 与强制访问控制 (MAC) 如何处理 SELinux 错误
SELINUX
qq_43008530的博客
11-14 710
1. 了解selinux (1)什么是selinux Selinux,内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 (2)selinux的三个模式 Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELi...
Linux操作系统安全:使用 Apache 服务部署静态网站了解SELinux
lm19770429的专栏
03-15 329
没有apache,先安装 yum install httpd
sestatus命令详解:快速了解SELinux当前状态与配置
通过分析`sestatus`命令的输出,管理员可以了解系统SELinux的整体状态,调整策略以满足特定的安全需求,并确保系统的安全性和稳定性。在日常运维中,定期监控和更新SELinux状态是保持系统安全的重要步骤。
SELinux SELinux SELinux
09-14
在处理SELinux问题时,开发者还需要了解如何创建和修改.te(Type Enforcement)文件和.te文件之间的关系。这些文件定义了类型之间的关系以及它们可以执行的操作。开发者还应该熟悉如何使用audit2allow工具自动生成...
深入了解SELinux与NetLabel子系统接口编程
通过分析这两个文件,开发者可以更深入地了解NetLabel的工作原理和SELinux安全策略与NetLabel的交互方式。 5. Linux/Unix编程:Linux/Unix编程涉及到在Linux或类Unix操作系统上进行软件开发的知识。这包括系统编程...
深入了解SELinux:从基础到Android集成的全面笔记本
资源摘要信息:"SELinux笔记本是...综上所述,SELinux笔记本是一份内容丰富、涵盖多个领域的SELinux使用和管理指南,旨在帮助系统管理员、安全工程师以及对SELinux感兴趣的读者深入了解并有效运用这一安全增强技术。
Linux服务器安全加固:深入了解Selinux安全机制
本文旨在深入探讨 SELinux 的工作原理、配置方法以及实际应用,帮助读者更好地了解和利用 SELinux 来加固服务器安全。 ## 本文的研究方法和结构 本文将分为如下几个章节展开讨论: 1. Linux服务器安全概述:介绍...
Linux 下用select实现串口数据读取方法
luoqice的博客
08-08 217
Linux 系统里,我们可以借助selectpoll或者epoll这些 I/O 多路复用机制达成串口数据读取的触发方式。这些机制能够让程序在特定文件描述符(像串口设备文件描述符)有数据可读时得到通知,进而进行数据读取操作,而不是像轮询方式那样持续调用read函数。
14.Linux : nfs与autofs的使用
xie52的博客
08-05 587
【代码】14.Linux : nfs与autofs的使用。
Linux | 网络】网络层(IP协议、NAT技术和ICMP协议)
是阿建吖!
08-04 1965
本篇文章讲解了 IP 协议、NAT 技术及 ICMP 协议相关知识。IP 协议通过协议格式规范数据传输,经传统分类编址与 CIDR 实现网段划分,依托路由器和路由表完成路由,并因 MTU 限制存在分片机制,但分片存在效率问题。NAT 技术通过映射表转换地址缓解公网 IP 短缺,却有通信局限,与代理服务器在功能和场景上差异显著,内网穿透可突破其限制。ICMP 协议承担网络诊断功能,Ping 命令基于此实现连通性检测,输出关键指标助力网络问题排查。
LINUX 85 SHElL if else 前瞻 实例
czhc1140075663的博客
08-05 554
判断用户是否存在id userid $user变量。
linux-文件系统
最新发布
2501_92004703的博客
08-08 769
固态硬盘 ssd Solid State Drive --》容量小、速度快、价格高 --》高磁盘IO的生产环境 --》数据库 --》 6000MB/s。转速 —》光盘转动的速度 --》5400/7200 rpm -->rate per minute -->一分钟的转速 --》150MB/s左右。格式化会导致磁盘分区里的数据丢失 --》形成一个文件系统 --》一套管理分区空间的方法 --》软件 --》运行在内核里。跨文件系统(分区),不能创建硬链接 --》因为每个分区的inode编号是独立进行的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值