安科网

深入理解SELinux

chenying

chenying

2017-10-29

关注 关注

深入理解SELinux

Security-Enhanced Linux (SELinux)是强制访问控制MAC在Linux内核中的一种实现——在自主访问控制(DAC)检查之后,再次检查允许的操作。SELinux通过定义的策略,强制限定Linux系统中对文件的操作、进程的权限。

MAC:mandatory access control

DAC:discretionary access controls

优点

  1. 所有文件和进程都加上一个特定类型标签,一个类型标签为进程定义了一个域,而为文件定义了一种类型。SELinux策略中指定,进程访问文件的规则以及进程间通信规则。
  2. 细化访问控制。SELinux中访问能力取决相关信息,例如用户、角色、类型和等级(可选选项)。
  3. 策略由管理员设置,全系统范围有效。
  4. 防止权限升级,如果有进程被挟持了(compromised),攻击者只能访问有限的资源(该进程所能访问的资源)。
  5. 加强数据的安全性和完整性

注意:

SELinux不是杀毒软件

SELinux不是口令密码、防火墙或者其他安全系统的替代物

SELinux不是一体化的安全解决方案

SELinux是在已有的安全解决方案基础之上,增强安全性,而不是替代原有的安全解决方案。

工作状态

Enforcing(启用状态):SELinux策略是强制使用。SELinux会根据策略拒绝访问

Permissive(自由状态):SELinux策略不是被强制使用的,仅会根据策略提醒用户

Disabled(禁用状态):SELinux不启用

~]# getenforce  # 查看启用状态
Enforcing

~]# setenforce 0   # 关闭SELinux
~]# getenforce 
  Permissive

工作模式
strict(严格模式):每个进程都会受到Selinux的控制
targeted (宽松模式):仅对部分进程启用selinux的控制
安全标签
格式:
user, role, type, level

user, 用户
role, 角色
type, 类型
level, 等级,可选项
使用 ls -Z  可查看文件的标签

[root@node1 tmp]$ls -Z mbr.bak 
-rw-r--r--. root root system_u:object_r:tmp_t:s0       mbr.bak

第四个字段即为安全标签——“system_u:object_r:tmp_t:s0”

查看进程的安全标签——ps  -Z

[root@node1 tmp]$ps aux -Z
LABEL                           USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
system_u:system_r:init_t:s0     root          1  0.0  0.1  17128  1312 ?        Ss   03:06   0:01 /sbin/in
system_u:system_r:kernel_t:s0   root          2  0.0  0.0      0     0 ?        S    03:06   0:00 [kthrea]
system_u:system_r:kernel_t:s0   root          3  0.0  0.0      0     0 ?        S    03:06   0:00 [migrat]
system_u:system_r:kernel_t:s0   root          4  0.0  0.0      0     0 ?        S    03:06   0:00 [ksofti]
...

修改安全标签

 chcon命令

修改文件的SELinux安全上下文

常用选项

-u  指定用户

-r   指定角色

-t   指定类型或域

-R    递归修改文件或文件夹

修改文件安全上下文类型

[root@node1 tmp]$ls -Z mbr.bak   
-rw-r--r--. root root system_u:object_r:tmp_t:s0       mbr.bak
[root@node1 tmp]$chcon -t tmp_tt_t mbr.bak                               # 修改文件的安全上下文类型
[root@node1 tmp]$ls -Z mbr.bak                          
-rw-r--r--. root root system_u:object_r:tmp_tt_t:s0    mbr.bak

restorecon命令

还原文件安全上下文

常用选项

-R  递归还原文件或文件夹

getsebool

查看进程或服务本身开启或关闭的功能模块

-a  查看所有布尔值

setsebool

修改指定模块是否使用SELinux

-P  将修改结果保存本地磁盘

相关文件

/etc/selinux/config | /etc/sysconfig/selinux  配置SELinux启用状态和工作模式的文件

/var/log/audit/audit.log       SELinux变动日志

selinux margin-left margin root

chenying

chenying

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

小练习

[ scripts]$echo "%9&Bdh7dq+YVixp3vpw" | tr -dc ‘[[:digit:]]‘。解决DOS***生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到1

xiaohouye 2020-08-19

SELinux配置

SELinux是Linux内核的一个模块,也是Linux的一个安全子系统。SELinux的实现了强制访问控制MAC,每个进程和系统资源都有一个特殊的安全标签,资源能否被访问除了DAC规定的原则外,还需要判断每一类进程是否拥有对某一类资源的访问权限。open

chenchuang 2020-08-01

第十一周

= Disabled ] && { setenforce 1;echo "Selinux is already started";return 10; }. [ $STATUS = Disabled ] &&am

QiHsMing 2020-06-28

第十一周

、编辑selinux.sh如下:#!cat /etc/fstab | awk ‘/^UUID/{print $3}‘ | sort | uniq -c. /bin/bashNUM=1lastb | awk ‘{print $3}‘| grep -E [^[

hnllei 2020-06-25

K8S主机环境配置(二)

# 安装补丁包# yum install -y conntrack ipvsadm ipset jq iptables curl sysstat libsecomp wget net-tools git vim# 禁用防火墙# systemctl sto

wys 2020-06-18

linux的基本优化

selinux 安全增强型 Linux简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要由美国国家安全局开发。它的主要 作用就是最大限度地减小系统中服务进程可访问的资源。也由于它的这个原则,导致我

kerson 2020-06-16

linux(centos8):禁用selinux(临时关闭/永久关闭)

它主要由美国国家安全局开发,有的软件对于selinux的安全规则支持不够好,就会建议在安装前把selinux先关闭,Setting SELinux in permissive mode by runningsetenforce 0andsed ...eff

LonelyTraveler 2020-05-29

SELinux服务开启后导致SSH连接异常的解决办法

/usr/sbin/sestatus -v 若显示enabled表示开启状态,disabled表示关闭状态。如何临时关闭SELinux服务?

sixforone 2020-05-28

Apache 配置 SELinux 命令的时候的命令 semanage

你可以 运行下面的命令进行安装 yum install policycoreutils-python. 需要注意的是,如果你运行的是 fedora 31 或者比较高的版本的话,上面的安装可能装不上去,提示包没有找到的错误。然后你可以运行 semanage

missingmuch 2020-05-25

Fedora 运行 Apache 的时候无法启动,提示日志错误

Fedora 运行 Apache 的时候无法启动,提示日志错误。原因是 selinux 的问题。SELinux 是由美国国家安全局 开发的,当初开发这玩意儿的目的是因为很多企业界发现, 通常系统出现问题的原因大部分都在於『内部员工的资源误用』所导致的,实

jLawrencee 2020-05-19

Linux--防火墙和vim

SELinux 是美国国家安全局对于强制访问控制的实现,这个功能管理员又爱又恨,大多数生产环境也是关闭的做法,安全手段使用其他方法。systemctl is-enabled firewalld.service # 检查防火墙是否启动。Vim是从 vi

想个标题偏头痛 2020-05-04

Docker加载/var/lib/mysql出现Permission Denied 原因:Selinux安全权限问题

解决方法:1. 自己用docker run来运行容器时, 加上 --privileged=true 即可。

liaochaowu 2020-05-03

Nginx 出现 403 Forbidden 最终解决

Nginx 出现 403 Forbidden 最终解决。权限不足的就加个权限吧。例子:chmod -R 755 / var/www. 把 user 用户名 改为 user root 或 其它有高权限的用户名称即可。如果是centos,看一下selinux是

RisenWang 2020-05-02

防火墙和selinux

核心层 处理配置和后端,如iptables、ip6tables、ebtables、ipset和模块加载器。顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具。———————————————————————————

wintelx 2020-04-29

centos7——关闭防火墙和SElinux

systemctl status firewalld    #Active: inactive --表示防火墙已经关闭。getenforce        #permissive模式是临时关闭,enforcing模式是临时打开,disabled模式是永久

89284553 2020-04-10

Selinux导致远程ssh连接服务器失败

主要是服务器系统selinux没有被disabled 或者Permissive 禁用掉,导致重启服务器时,sshd服务启动失败。

老谢的自留地 2020-03-25

selinux

westoslinuxfile文件的安全上下文改为public....所以lftp访问服务器时会发现此文件访问成功临时更改后,selinux重启,目录的安全上下文会恢复原本永久更改目录或文件的安全上下文

Summer的小屋 2020-02-29

centos7永久关闭selinux

SELINUX=enforcing#此项定义selinux状态。#enforcing—是强制模式系统受selinux保护。就是你违反了策略,你就无法继续操作下去#permissive—是提示模式系统不会受到selinux保护,只是收到警告信息。permis

wannagonna 2020-02-25

selinux

disabled 代表禁用 SELinux 功能,由于 SELinux 是内核模块功能,所以如果设置禁用,需要重启计算机。permissive 代表仅警告模式,处于此状态下时,当主题程序试图访问无权限的资源时,SELinux 会记录日志但不会拦截该访问,也

jackalwb 2020-01-29

Linux防火墙

firewalld默认拒绝所有服务、支持动态修改iptables默认允许所有服务、需要全部刷新载入二者维护规则通过netfilter实现功能selinux较为复杂,小菜还没有过应用。firewalld:systemctl start firewallds

jiangtie 2020-01-09
chenying

chenying

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号