SELinux深度解析:安全增强型Linux的探索与应用(下)

news2024/12/23 15:55:34

🐇明明跟你说过:个人主页

🏅个人专栏:《Linux :从菜鸟到飞鸟的逆袭》🏅

🔖行路有良友,便是天堂🔖

目录

一、SELinux的工作机制

1、SELinux的三种状态:Permissive、Enforcing、Disabled

2、类型强制(Type Enforcement) 

3、角色(Role)与层次(Level) 

4、安全上下文(Security Context) 

二、SELinux的配置与管理 

1、使用semanage和setools进行策略管理

2、使用sestatus、getenforce、setenforce查看SELinux状态


一、SELinux的工作机制

1、SELinux的三种状态:Permissive、Enforcing、Disabled

SELinux(Security-Enhanced Linux)是一个Linux内核模块和安全体系结构,它为Linux系统提供了强制访问控制(MAC)的机制。SELinux有三种状态,每种状态对应不同的安全策略执行方式:

1. Enforcing:

  • 在这种状态下,SELinux策略会被强制执行。这意味着所有不符合SELinux策略的访问尝试都会被拒绝并记录在日志中。系统会严格按照定义的安全策略进行访问控制,确保最高级别的安全性。
  • 例如,如果某个进程尝试访问一个它无权访问的文件,这种访问会被阻止,并且SELinux会在日志中记录这一事件。
  • Enforcing状态通常用于生产环境,以确保系统安全策略得到严格实施。


2. Permissive:

  • 在这种状态下,SELinux策略不会被强制执行,但任何违反策略的行为仍然会被记录在日志中。也就是说,系统会允许所有访问尝试,即使它们不符合SELinux策略。
  • Permissive状态通常用于开发和调试环境,因为它允许管理员查看哪些访问尝试会被SELinux策略阻止,而不会实际阻止这些访问。这对于调整和优化SELinux策略非常有用。
  • 例如,管理员可以在Permissive模式下运行系统一段时间,以收集日志中被记录的访问尝试,然后根据这些日志调整SELinux策略。


3. Disabled:

  • 在这种状态下,SELinux完全被禁用。系统不会应用任何SELinux策略,也不会记录任何SELinux相关的日志。
  • Disabled状态下,系统运行时没有SELinux提供的强制访问控制,这可能会降低系统的安全性。
  • 这种状态一般用于不需要或不支持SELinux的环境,或者用于排除与SELinux相关的问题。

2、类型强制(Type Enforcement) 

类型强制(Type Enforcement,简称TE)是SELinux实现强制访问控制(MAC)的一种核心机制。TE通过将系统中的每个对象和每个主体(进程)分配到不同的类型,并使用策略规则来定义哪些类型的主体可以访问哪些类型的对象以及如何访问它们,从而实现细粒度的访问控制。

核心概念


1. 类型(Type):

  • 每个文件、目录、设备、进程等对象和主体在SELinux中都有一个类型标签。类型标签用于标识对象和主体属于哪种类型。


2. 域(Domain):

  • 进程的类型标签通常称为域(Domain)。域是主体(进程)的类型,控制主体可以执行哪些操作和访问哪些对象。


3. 对象类型:

  • 对象(如文件、目录、设备等)的类型标签称为对象类型。对象类型定义了对象的属性和访问规则。

3、角色(Role)与层次(Level) 

 

在SELinux中,除了类型强制(Type Enforcement,TE),角色(Role)和层次(Level)也是重要的概念,它们共同构成了SELinux的多层次访问控制体系。

角色(Role)
角色是SELinux中的一个安全属性,用于将用户和域(Domain)关联起来。角色基于基于角色的访问控制(RBAC)模型,定义了哪些域可以被哪些角色访问。通过角色的定义和使用,SELinux可以有效地管理用户对系统资源的访问权限。

1. 角色的定义:

  • 角色在SELinux策略中定义,通常与用户映射,并且进一步限制用户可以进入哪些域。


2. 角色与域的关联:

  • 角色可以与多个域关联,这样角色就可以使用这些域的权限。
  • 例如,system_r角色可以访问httpd_t域的资源。


3. 用户与角色的映射:

  • SELinux用户(如user_u、staff_u)映射到特定的角色,这样特定的用户就只能使用这些角色定义的权限。


层次(Level)
层次(Level)是在SELinux中实现多级安全(MLS)和多类别安全(MCS)的关键机制。层次包括安全级别(Sensitivity)和类别(Category),用于进一步细化访问控制策略。

1. 安全级别(Sensitivity):

  • 安全级别表示信息的敏感性,可以定义多个级别。
  • 例如:s0、s1、s2等,s0表示最低级别,s1表示较高的级别。


2. 类别(Category):

  • 类别表示信息的类别,可以定义多个类别。
  • 例如:c0、c1、c2等,类别用于将信息划分为不同的分类组。


3. MLS上下文:

  • 在SELinux中,MLS上下文用级别:类别的形式表示,例如:s0:c0,c1。
  • 这种表示方式可以用来定义哪些用户和进程可以访问哪些信息。

 

4、安全上下文(Security Context) 

在SELinux中,安全上下文(Security Context)是一个非常重要的概念。它是一个标识符,用于描述对象和主体的安全属性。安全上下文定义了SELinux如何应用其安全策略,以控制对系统资源的访问。每个文件、进程、设备等对象都有一个安全上下文。一个典型的安全上下文由以下几个部分组成:

1. 用户(User):

  • SELinux用户,不同于Linux用户。SELinux用户用于分配特定的SELinux权限集。
  • 例如:system_u, user_u, staff_u。


2. 角色(Role):

  • 角色用于将用户和域关联起来,定义哪些角色可以访问哪些域。
  • 例如:system_r, user_r, staff_r。


3. 类型(Type)或域(Domain):

  • 类型是SELinux最核心的概念,用于标识对象的类别和主体的域。类型强制(TE)策略基于类型进行访问控制。
  • 例如:httpd_t, ssh_t, user_home_t。


4. 级别(Level)(可选,主要用于MLS/MCS):

  • 级别由敏感度(Sensitivity)和类别(Category)组成,用于实现多级安全(MLS)和多类别安全(MCS)。
  • 例如:s0, s0:c0,c1。


示例
一个典型的SELinux安全上下文可能是这样的:

system_u:object_r:httpd_sys_content_t:s0


这代表了一个文件对象,它的SELinux用户是system_u,角色是object_r,类型是httpd_sys_content_t,级别是s0。

二、SELinux的配置与管理 

1、使用semanage和setools进行策略管理

semanagesetools是管理SELinux策略的强大工具。semanage主要用于修改和管理SELinux策略中的各种对象,如文件上下文、端口、用户、布尔值等。而setools是一组用于分析和调试SELinux策略的工具集。

使用 semanage


1. 修改文件上下文

  • 查看文件上下文:
semanage fcontext -l

        列出所有文件的SELinux上下文。 

  • 添加或修改文件上下文:
semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"


        将 /web 目录及其子目录和文件的类型设置为 httpd_sys_content_t。

  • 应用文件上下文更改:
restorecon -Rv /web


        根据当前策略重新设置 /web 目录及其子目录和文件的上下文。

使用 setools
setools 包括一组工具,用于分析和调试SELinux策略,如 sesearch、seaudit、seinfo 等。

sesearch

  • 搜索允许规则:
sesearch -A -s httpd_t -t httpd_sys_content_t


        查找源类型 httpd_t 对目标类型 httpd_sys_content_t 的所有允许规则。

  • 查找特定权限:
sesearch -A -s httpd_t -t httpd_sys_content_t -c file -p read


        查找 httpd_t 类型的进程对 httpd_sys_content_t 类型的文件具有读取权限的规则。

2、使用sestatus、getenforce、setenforce查看SELinux状态

使用semanagesetools可以对SELinux进行高级管理,而使用selinux-utils包中的工具(如sestatus、getenforce、setenforce)可以查看和修改SELinux的运行状态。这些工具是进行SELinux日常管理和检查的重要手段。

查看SELinux状态


sestatus
sestatus命令用于显示SELinux的当前状态及其配置。

sestatus

输出示例:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31

解释:

  • SELinux status: enabled 表示SELinux已启用,disabled 表示SELinux已禁用。
  • Current mode: 当前的SELinux模式,可以是enforcing或permissive。
  • Mode from config file: 配置文件中定义的模式。
  • Policy MLS status: 是否启用了多级安全(MLS)。
  • Loaded policy name: 当前加载的SELinux策略名称(如targeted或strict)。

getenforce
getenforce命令用于查看SELinux的当前模式。

getenforce

解释:

  • Enforcing: SELinux正在强制执行策略。
  • Permissive: SELinux处于宽容模式,不强制执行策略,但记录违规行为。
  • Disabled: SELinux已禁用。

 

setenforce
setenforce命令用于临时切换SELinux模式,在Enforcing和Permissive模式之间切换。

setenforce 0

解释:

  • setenforce 0: 将SELinux切换到Permissive模式。
  • setenforce 1: 将SELinux切换到Enforcing模式。

实践示例
1. 查看SELinux状态:

sestatus

2. 查看SELinux当前模式:

getenforce

3. 将SELinux切换到宽容模式:

sudo setenforce 0

4. 将SELinux切换回强制模式:

sudo setenforce 1

永久更改SELinux模式
如果需要永久更改SELinux的运行模式,可以编辑配置文件 /etc/selinux/config:

sudo nano /etc/selinux/config

将 SELINUX 参数设置为 enforcing, permissive 或 disabled:

SELINUX=enforcing

保存并退出编辑器,然后重启系统:

sudo reboot

 💕💕💕每一次的分享都是一次成长的旅程,感谢您的陪伴和关注。希望这些关于Linux的文章能陪伴您走过技术的一段旅程,共同见证成长和进步!😺😺😺

🧨🧨🧨让我们一起在技术的海洋中探索前行,共同书写美好的未来!!! 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1792850.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringSecurity6从入门到实战之默认用户的生成流程

SpringSecurity6从入门到实战之默认用户的生成流程 这次还是如标题所示,上一章我们的登录页面已经知道是如何生成了.那么,我们通过表单登录的user用户以及密码SpringSecurity是如何进行生成的呢? 默认用户生成 让我们把登录流程重新拉回到读取/META-INF/spring/ .imports文件 …

Python用于简化数据操作和分析工作库之DaPy使用详解

概要 在数据科学和机器学习领域,处理和分析数据是关键的一步。Python 的 DaPy 库提供了一组强大的工具,用于简化数据操作和分析工作。DaPy 旨在提供高效且直观的 API,使得数据处理变得更加便捷。本文将详细介绍 DaPy 库,包括其安装方法、主要特性、基本和高级功能,以及实…

Python3 迭代器和生成器

前言 本文主要介绍Python中的迭代器和生成器,主要内容包括 迭代器概述、生成器简介。 文章目录 前言一、迭代器简介二、生成器简介 一、迭代器简介 在 Python 中,迭代器(iterator)是一个实现了迭代器协议(Iterator Protocol)的…

【JavaEE进阶】——MyBatis操作数据库 (#{}与${} 以及 动态SQL)

目录 🚩#{}和${} 🎈#{} 和 ${}区别 🎈${}使用场景 📝排序功能 📝like 查询 🚩数据库连接池 🎈数据库连接池使⽤ 🚩MySQL开发企业规范 🚩动态sql &#x1f388…

【Python】 探索Python中的目录遍历:获取当前目录下所有子目录列表

基本原理 在Python中,处理文件和目录是一项常见的任务,尤其是在进行文件管理、数据备份或自动化脚本时。Python的os模块提供了丰富的功能来与操作系统进行交互,包括文件和目录的遍历。要获取当前目录下的所有子目录,我们可以使用…

3年前端期望18K,云账户社招一面

一二面会有手写代码测试,一面或者二面当中,有一面必须到现场来的,对工作环境有一个直观的感受,前端二面取消了 一面(通过) 1、自我介绍、项目经历 2、怎么跟 xx模板的开发同学去沟通的呢?此处…

C++标准模板(STL)- 迭代器库-迭代器适配器- 逆序遍历的迭代器适配器 (二)

迭代器库-迭代器原语 迭代器库提供了五种迭代器的定义,同时还提供了迭代器特征、适配器及相关的工具函数。 迭代器分类 迭代器共有五 (C17 前)六 (C17 起)种:遗留输入迭代器 (LegacyInputIterator) 、遗留输出迭代器 (LegacyOutputIterator) 、遗留向前…

基于阿里云服务网格流量泳道的全链路流量管理(三):无侵入式的宽松模式泳道

作者:尹航 在前文《基于阿里云服务网格流量泳道的全链路流量管理(一):严格模式流量泳道》、《基于阿里云服务网格流量泳道的全链路流量管理(二):宽松模式流量泳道》中,我们介绍了流…

【Python系列】Python 方法变量参数详解

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

windows RNDIS开发-概念

远程 NDIS (RNDIS) 是一种独立于总线的类,适用于动态 即插即用 (PnP) 总线(例如 USB、1394、蓝牙和 InfiniBand)上的以太网 (802.3) 网络设备。 远程 NDIS 通过抽象控制和数据通道在主计算机与远程 NDIS 设备之间定义与总线无关的消息协议。 …

实践记录-docker-step6-7/10-参考docker官网步骤操作记录-绑定挂载-多容器

参考来源: (应用的容器化实践)docker官方入门指南 https://docs.docker.com/get-started/ 本指南包含有关如何开始使用 Docker 的分步说明。本指南介绍如何: 将映像作为容器生成并运行。 使用 Docker Hub 共享映像。 使用带有数据…

Zero++原理

1. Weights在AllGather中的量化;(计算时间换网络通信延迟) Zero3的Weights分片在各个rank中;在forward和backward中,用到整层weights时都要所有rank进行AllGather; 使用FP16-->INT8量化,减少…

win+mac通用的SpringBoot+H2数据库集成过程。

有小部分大学的小部分老师多毛病,喜欢用些晦涩难搞的数据库来折腾学生,我不理解,但大受震撼。按我的理解,这种数据库看着好像本地快速测试代码很舒服,但依赖和数据库限制的很死板,对不上就是用不了&#xf…

Vitis HLS 学习笔记--static RAM/ROM

目录 1. 简介 2. static RAM 2.1 无 reset 的情形 2.2 含 reset 的情形 3. static ROM 4. 总结 1. 简介 本文仍然是讨论阵列的初始化与复位问题,区别于《Vitis HLS 学习笔记--global_array_RAM初始化及复位-CSDN博客》,本文讨论的对象是静态阵列&…

微服务第一轮

课程文档 目录 一、业务流程 1、登录 Controller中的接口: Service中的实现impl: Service中的实现impl所继承的接口IService(各种方法): VO: DTO: 2、搜索商品 ​Controller中的接口&a…

期望24K,商汤科技golang开发 社招一二三 + hr 面

商汤科技对数据库和中间件相关的东西问的比其他的大厂要少很多,可能他们更多是和算法相关,没有什么高并发的场景。总体感觉对技术的要求不是特别高。当时问了他们主管,我面试的部门的工作是主要去实现他们算法部门研究的算法,感觉…

CSS函数:fit-content与matrix的使用

网格函数 fit-content()属于网格函数,除此之外的网格函数还有:CSS函数: 实现数据限阈的数字函数。顾名思义,这三个函数只能在网格布局中使用。fit-content()函数主要是用于给定布局可用大小,适应内容,其功…

【微信小程序】页面导航

声明式导航 导航到 tabbar 页 tabBar页面指的是被配置为tabBar的页面。 在使用<navigator>组件跳转到指定的tabBar页面时&#xff0c;需要指定url属性和open-type属性&#xff0c;其中&#xff1a; url 表示要跳转的页面的地址&#xff0c;必须以/开头open-type表示跳…

【Vue】路由介绍

一、引入 思考 单页面应用程序&#xff0c;之所以开发效率高&#xff0c;性能好&#xff0c;用户体验好 最大的原因就是&#xff1a;页面按需更新 比如当点击【发现音乐】和【关注】时&#xff0c;只是更新下面部分内容&#xff0c;对于头部是不更新的 要按需更新&#xff…

企业微信hook接口协议,ipad协议http,内部联系人备注修改

内部联系人备注修改 参数名必选类型说明uuid是String每个实例的唯一标识&#xff0c;根据uuid操作具体企业微信 请求示例 {"uuid":"1688855749266556","vid":1688856554448765,"remark":"备注啦啦啦22222","des&quo…