理解SElinux

1.传统的权限使用读、写和执行的方式控制着用户对资源(文件及目录)的访问。

2.selinux使用selinux用户、角色、类型和级别控制进程对资源(文件及目录)的访问。

SElinux属性格式:

SElinux  User:Role:Type:Level

3.在支持SElinux的Linux系统中,用户有系统用户和SElinux用户之分,

SElinux用户是SElinux策略的要素,与linux系统的用户存在一种映射关系。

每个linux用户可以映射为一个selinux用户,查看他们之间的映射使用命令:

semanage

selinux策略定义了大量受限制的SElinux用户,linux用户可以映射到受限制的SElinux用户:例如

映射为SElinux用户的user_u的linux用户通常不能运行setuid程序,也不能运行su或sudo命令,

从而防止用户轻易获取root权限。

4.所有的进程与文件都有一个类型标记,

类型定义了进程的作用域和文件的访问访问,从而隔离进程的运行空间。

5.

查看所有活动进程的SElinux属性的命令:

ps -eZ

查看linux用户的SElinux属性的命令:

id -Z

查看文件的SElinux使用命令:

ls -Z 文件

6.针对主体(进程)的访问决策需要考虑所有的SElinux属性,

针对对象(文件及目录)的访问决策也需要考虑所有的SElinux;

在类型强制的SElinux环境中,所有主体和对象都有一个类型,

利用类型实行SElinux策略的强制规则,

因此有时很难区分主体(进程)和对象(文件);

为了区别进程及文件一般把进程类型的类型称为域。

时间: 2024-10-06 00:30:11

理解SElinux的相关文章

深入理解SELinux

目录(?)[+] 1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中.它是NSA (United States Na

SELinux入门基础

如果你是一个运维人员,那么你一定听说过SELinux,即使你不会使用它,对于SELinux的看法,见仁见智. 有的朋友认为它大大的提升了系统的安全性,极度推崇它,有的朋友则认为它不是必须的,不熟悉的情况 下轻易使用会造成很多错误,弊大于利,于是直接关闭它,还有些朋友能把它当做阴谋论去讨论.我们无 法评判孰是孰非,只能说,如果有使用它的需求,对它有一定的了解即可,现在,我们来初步了解一下它. SELinux的什么? 通俗的讲:SELinux是一个Linux模块,主要用于提高Linux的安全性. 这

Nginx 因 Selinux 服务导致无法远程访问

本文暂且叫这个名吧,因为不是很理解 Selinux ,也许你有更好的办法请告知我! 一.问题现象 Nginx 启动后本机可以正常访问,使用Curl 命令可以获取默认 index.html,其他界面均不可访问.远程访问服务器时提示 400 bad request 信息,检查Nginx用户权限和端口都正常,iptables 未启动. # curl -I localhost HTTP/1.1 200 OK Server: nginx Date: Mon, 15 Dec 2014 10:52:34 GM

Nginx 因 Selinux 服务导致无法远程訪问

文章来源:http://blog.csdn.net/johnnycode/article/details/41947581 2014-12-16日 昨天晚上处理好的网络訪问连接.早晨又訪问不到了. 现象是Nginx能够获得 Respone Head信息,但Respone Body信息间歇性能够获取,Nginx配置为监听80port.iptables 和 selinux 服务停止状态. 终于的处理结论是某IDC要求80port必须申请白名单才干够訪问,由于能够间歇性获取 Respone Body

Linux -- SELinux配置及应用(1)

一.SELinux 与强制访问控制系统 SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件.网络端口等). 强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力.所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复. 举例来说,系统上的 Apache 被发现存

深入理解Android之Xposed详解

一.背景 Xposed,大名鼎鼎得Xposed,是Android平台上最负盛名的一个框架.在这个框架下,我们可以加载很多插件App,这些插件App可以直接或间接操纵系统层面的东西,比如操纵一些本来只对系统厂商才open的功能(实际上是因为Android系统很多API是不公开的,而第三方APP又没有权限).有了Xposed后,理论上我们的插件APP可以hook到系统任意一个Java进程(zygote,systemserver,systemui好不啦!). 功能太强大,自然也有缺点.Xposed不仅

SELinux与强制访问控制系统应用

几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见.不过随着日益增长的  0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中强制性访问控制系统(MAC)了,在刚接触Linux的时候我们会遇到因为SELinux控制出现的问题,接下来我来初步揭开SELinux的神秘面纱: SELinux 与强制访问控制系统        SELinux 全称 Security Enhanced Linux (安全强化 Li

SELinux深入理解

1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中.它是NSA (United States National Se

探秘linux-文件管理(inode理解)及管道和IO重定向

一.文件管理 1.Linux系统上各主要目录的简介 / 根,所有文件的起点 bin 存放操作系统启动时的引导程序,以及操作系统内核文件 boot 存放操作系统启动时的引导程序,以及操作系统内核文件 dev 存放设备文件和特殊文件(如字符设备) etc 存放配置文件的目录 home 普通用户的家目录默认都在此目录下 lib 存放系统库和内核模块文件 (/lib/modules) lib64 存放x86_64位系统上共享库文件 media 系统上提供的设备挂载点 misc 系统上提供的设备挂载点 m