请选择 进入手机版 | 继续访问电脑版

[LINUX] SELinux基本概念详解

[复制链接]
查看127 | 回复10 | 2021-9-5 04:12:28 | 显示全部楼层 |阅读模式

SELinux(Security Enhanced Linux),以下是SELinux的三种范例 现实 操作流程表示 图:

SELinux基本概念详解

意义:

传统的Linux权限控制采用自主式权限控制(Discretionary Access Control, DAC),依据程序拥有者和资源的rwx权限决定有无存取本领 .如许 存在root账户盗用可以利用 任何资源和目次 假如 被设为777权限而导致恣意 存取和操作的题目 .SELinux采用MAC(Mandatory Access Control, MAC).在访问资源时,判定 程序是否有权限,而不是判定 用户.以是 ,即使不警惕 httpd被 取得了控制权,他也无权欣赏 /etc/shadow 等紧张 的文档.开启SELinux后,访问文件会颠末 SELinux权限控制和平凡 的用户资源rwx权限控制.

SELinux 是整合到核心的一个核心功能,不必要 启动什么额外的服务来开启SELinux.开机完成后,SELinux也就启动了.

策略模式:

SELinux 的运作策略:

targeted:针对网路服务限定 较多,针对本机限定 较少,是预设的政策;

strict:完备 的SELinux 限定 ,限定 方面较为严格 .

三种模式:

enforcing:逼迫 模式,代表SELinux运作中,且已经精确 的开始限定 domain/type了;

permissive:宽容模式:代表SELinux运作中,不过仅会有告诫 讯息并不会现实 限定 domain/type的存取.这种模式可以运来作为SELinux的debug之用(看下什么缘故原由 导致无法访问);

disabled:关闭.

查询SELinux当前模式:getenforce

查询SELinux当前policy详细 信息:sestatus

打开关闭:

临时 关闭SELinux: setenforce 0 (设置SELinux 成为permissive模式)

临时 打开SELinux: setenforce 1 (设置SELinux 成为enforcing模式)

彻底关闭SElinux: vi /etc/selinux/config  设置SELINUX=disabled ,重启见效

log:

以下服务可以记录当发生SELinux 错误时,将那些有效 的资讯记录到log,用以提供办理 的方案:

setroubleshoot(只记录错误信息)

auditd(记录详细 信息)

基本利用 :

安全性本文(Security Context)查看:

ls -Z 

安全性本文重要 用冒号分为三个栏位

Identify:role:type

身份辨认 :脚色 :范例

身份辨认 (Identify):

root:表示root的帐号身份,犹如 上面的表格表现 的是root home目次 下的资料

system_u:表示体系 程序方面的辨认 ,通常就是程序

user_u:代表的是一样寻常 利用 者帐号干系 的身份

脚色 (Role):

object_r:代表的是档案或目次 等档案资源,这应该是最常见的

system_r:代表的就是程序啦!不过,一样寻常 利用 者也会被指定成为system_r

范例 (Type) :(最紧张 !)

程序的domain要和文件的type相搭配,才能有权限访问.

每个目次 或档案都会有预设的安全性本文

查询增长 修改预设的安全性文本:semanage

将文件修改为当前目次 默认的安全性文本:

restorecon -Rv /var/www/html/index.html  

将文件目次 安全性文本设置为和另一个文件目次 一样:

chcon -R --reference=/var/lib/ref_file target_file 

可以设置和修改访问规则,可以修改目次 默认安全性文本.


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

avatar lkbt123 | 2021-9-19 03:39:32 | 显示全部楼层
admin楼主的头像是本人吗?
回复

使用道具 举报

avatar 天之涯神之兵米 | 2021-9-23 10:12:26 | 显示全部楼层
我回帖admin楼主给加积分吗?
回复

使用道具 举报

avatar 休闲时光8882017 | 2021-10-2 06:37:06 | 显示全部楼层
无图无真相!
回复

使用道具 举报

avatar ai2017 | 2021-10-14 13:05:16 | 显示全部楼层
admin楼主好聪明啊!
回复

使用道具 举报

avatar 123457333 | 2021-10-18 22:37:14 | 显示全部楼层
好好学习admin楼主的帖子!
回复

使用道具 举报

avatar Besson | 7 天前 | 显示全部楼层
看帖不回帖都是耍流氓!
回复

使用道具 举报

宇宙第一贴诞生了!
回复

使用道具 举报

admin楼主,替我问候您主治大夫!
回复

使用道具 举报

楼上的忘记吃药了!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则