SELinux

头像
济贞
    阅读 3 分钟
    4

    一:SELinux概念

    1: 简介

    SELinux: Secure Enhanced Linux,是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中
    特性:
    MAC环境下策略的规则决定控制的严格程度
    MAC环境下进程可以被限制的
    策略被用来定义被限制的进程能够使用那些资源(文件和端口)
    默认情况下,没有被明确允许的行为将被拒绝

    2:类型

    查看: cat /etc/selinux/config
    SELINUXTYPE=targeted minimum mls
    目标进程被保护:保护本质上是让进程不可以为所欲为,在一定的范围下活动.
    不在范围内的进程则不予管理

    clipboard.png

    3:targeted

    SELinux:一切皆对象
    安全上下文五个元素:
    User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程
    Role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r
    Type:指定数据类型,规则中定义何种进程类型访问何种文件
    Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0
    Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy,c0-c1023共1024个分类,Target 策略不使用category
    如:
    system_u:object_r:admin_home_t:s0

    clipboard.png

    type:admin_home_t
    根据文件类型可以下策略规定。
    多服务公用:public_content_t

    ll -Z 查看真实的类型
    semanage fcontext -l 查看期望的安全上下文
    clipboard.png

    二:SELinux策略

    1:启动/禁用

    SELinux的状态:

    enforcing:强制,每一个受限的进程都必然受限
    permissive:允许,每一个受限的进程违规操作不会被禁止,但会被记录于审计日志
    disabled:禁用SELinux

    相关命令:

    getenforce:获取selinux当前状态查看:
    sestatus 此命令查看的更清楚
    setenforce 0|1

     0: 设置为permissive
 1: 设置为enforcing

    此条命令是不可以设置为diabled

    semanage fcontext -l 查看期望的安全上下文:

    clipboard.png

    配置文件:

    /etc/selinux/config
    SELinux策略转换及生效

    • 1:enforcing->permissive

      使用命令 setenforce 0
permissive---> enforcing 
使用命令 setenforce 1

    • 2: permissive或enforcing转换为disabled
      需要在配置文件/etc/selinux/config中把 SELINUX=enforing 改为 SELINUX=disabled

       并需要重启电脑,方可生效

    • 3 disabled 转换为 permissive或enforcing
      需要在配置文件/etc/selinux/config中把 SELINUX=disabled 改为 SELINUX=enforcing

       并需要重启电脑,方可生效

    clipboard.png

    clipboard.png

    2:管理文件标签

    此节为rhce考题,需要好好掌握

    • 改变文件标签:
      chcon –t 文件标签 file

    • 改变目录标签
      chcon –Rt 文件标签 file

    • 恢复文件标签至正常状态:

      1)restorecon   file
2)参考正常值:semanage fcontext –l 
    修改标签:chcon –t 文件标签 file

    • 恢复目录的标签:

        restorecon –R DIRECTORY

    • 添加安全上下文:
      相当于在安全上下文的库里面增加记录,restorecon恢复文件的标签,就是从参考库的标签,然后做相应的修改

    semanage fcontext –a –t httpd_sys_content_t ‘/testdir(/.*)?’

    三:管理端口标签

    • 查看端口标签
      semanage port –l 查看系统默认的端口与对应的应用

    • 增加端口:
      semanageport -a -t port_label-p tcp|udpPOR

    clipboard.png

    • 删除端口标签:
      semanageport -d -t port_label-p tcp|udpPORT
      semanage port -d -t http_port_t -p tcp 9527

    clipboard.png

    • 修改端口标签:

          此端口要被定义过,没有被定义的标签不能被更改

      clipboard.png

    四:管理SELinux布尔值开关

    查看:

    semanage boolean –l

    clipboard.png

    更改

    更改bool值(临时生效):
    setbool httpd_enable_homedirs on 临时生效
    永久更改存放
    1为on
    0为off
    setbool –P httpd_enable_homedir=1

    clipboard.png

    clipboard.png

    linuxgitcentos
    济贞
    287 声望8 粉丝

    不积跬步无以至千里;不积小流无以成江海。

    « 上一篇
    AWK使用简介
    下一篇 »
    Centos7内核编译

    引用和评论

    推荐阅读
    头像
    基本的隐写术:把任意文件隐藏在一张图片里

    济贞阅读 7.6k

    头像
    美国居民IP节点

    来了老弟3阅读 15.6k评论 2

    头像
    阿里云ECS服务器部署Node.js项目全过程详解

    kovli1阅读 6k

    头像
    记录一次Linux下安装Oracle数据库的过程

    少放香菜1阅读 3.4k

    头像
    在 ubuntu24.04 上使用英伟达显卡——安装驱动和cuda

    universe_king1阅读 3.8k

    头像
    linux下使用笔记本的相关设置

    notusednow阅读 7.7k

    头像
    张晋涛:KubeCon China 2024 回顾

    张晋涛2阅读 620评论 1

    0 条评论
    得票最新