SElinux: 是Linux的一个强制访问控制的安全模块

SElinux的相关概念:

对象:文件、目录、进程、端口等
主体:进程称为主体
SElinux将所有的文件都赋予一个type类型的标签,所有的进程也赋予一个domain类型的标签。domain标签能够执行的操作由安全策略里定义

#ubuntu没有使用selinux
安全策略:定义主体读取对象的规则数据库,定义那些行为是允许的,那些行为是拒绝的。

SElinux的四种工作类型

  • Strict:CentOS 5,每个进程都受到selinux的控制

  • targeted:用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程

  • minimum:CentOS 7,修改的targeted,只对选择的网络服务

  • mls:提供MLS(多级安全)机制的安全性

targeted为默认类型,其他三种都不再使用了

SElinux的安全上下文

安全上下文:就是一个标签。规定只有特定标志的进程才能访问特定标识的文件或目录

在linux中,一切皆文件

在selinux中,一切皆对象。

安全上下文有五个元素组成:

user:role:type:sensitivity:category

(1)User:指示登录系统的用户类型,进程:如system_u为系统服务进程,是受到管制的,unconfined_u为不管制的进程,用户自己开启的,如 bash,文件:system_u系统进程创建的文件, unconfined_u为用户自已创建的文件

(2)Role:定义文件,进程和用户的用途:进程:system_r为系统服务进程,受到管制。unconfined_r 为不管制进程,通常都是用户自己开启的,如 bash,文件:object_r

(3)Type:指定数据类型,规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用:public_content_t

(4)Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0

(5)Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy, c0-c1023共1024个分类, Target 策略不使用category
启用和禁用selinux
selinux的状态
enforcing:启用selinux,强制,每个受限的进程都必然受限

permissive:启用selinux,但是违反了策略只会报警,不会阻止

disabled:不启用selinux
相关命令

getenforce: 获取selinux当前状态

sestatus :查看selinux状态

setenforce 0|1 0: 设置为permissive 1: 设置为enforcing

通过配置文件启用或禁用
/boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

/boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

/etc/selinux/config 或 /etc/sysconfig/selinux 中 SELINUX=

{disabled|enforcing|permissive}

文件安全标签的管理

给文件重新打标签:chcon工具

chcon -R -t 上下文 目录或者文件

#-R, --recursive:递归处理所有的文件及子目录

恢复文件的默认标签:restorecon

restorecon [-R] /path/to/somewhere  #目录文件就加R参数

修改默认的标签:semanage工具

#查看默认的安全上下文

semanage fcontext -l

#添加安全上下文

semanage fcontext  -a -t httpd_sys_content_t   ‘/testdir(/.*)?’ #-a表示添加

restorecon -Rv /testdir

#删除安全上下文

semanage fcontext  -d -t httpd_sys_content_t   ‘/testdir(/.*)?’

管理端口标签

#查看端口标签

semanage port -l

#添加端口

semanage port -a -t port_label -p tcp|udp PORT

semanage port -a -t http_port_t  -p tcp 9527

#删除端口

semanage port -d -t port_label -p tcp|udp PORT

semanage port -d -t http_port_t  -p tcp 9527

#修改现有端口为新标签

semanage port -m -t port_label -p tcp|udp PORT

semanage port -m -t http_port_t -p tcp 9527

管理SELinux布尔值

对指定服务的功能进行设置,服务能否正常启用和服务是否正常启动和selinux对应的bool值是否开启共同决定。

#布尔型规则:

getsebool

setsebool

#临时生效,重启就不生效了  永久生效: 加上一个大写的P

#查看指定的服务是否开启了

getsebool -a | grep 服务名

#查看bool命令:

getsebool [-a] [boolean]

semanage boolean -l

semanage boolean -l -C 查看修改过的布尔值

#设置bool值命令:

setsebool [-P] boolean value(on,off)

setsebool [-P] Boolean=value(1,0)

SElinux管理的更多相关文章

  1. 0060 Linux SELinux 管理命令

    1. SELinux 的起源 SELinux 是一个面向政府和行业的产品,由 NSA.Network Associates.Tresys 以及其他组织设计和开发.尽管 NSA 将其作为一个补丁集引入, ...

  2. [转]SELinux管理与配置

    原文链接:http://blog.csdn.net/huangbiao86/article/details/6641893 1.1 SElinux概述 SELinux(Security-Enhance ...

  3. setsebool命令详解与SELinux管理

    setsebool命令是用来修改SElinux策略内各项规则的布尔值.setsebool命令和getsebool命令是SELinux修改和查询布尔值的一套工具组.SELinux的策略与规则管理相关命令 ...

  4. Linux命令应用大词典-第29章 SELinux管理

    29.1 sestaus:显示SElinux的状态 29.2 getenforce:显示当前SELinux的应用模式 29.3 setenforce:修改SELinux的应用模式 29.4 getfa ...

  5. 第17章 程序管理与SELinux初探

    什么是进程 触发任何一个事件时,系统都会将它定义为一个进程,并且给予这个进程一个ID,称为PID,同时依据触发这个进程的用户与相关属性关系,给予这个进程一组有效的权限设置. 进程与程序 进程:执行一个 ...

  6. SELinux 入门

    几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见.不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 L ...

  7. Centos7.5中的SElinux操作命令说明

    设置Selinux模式 setenforce 0 0表示警告模式 1表示强制模式 关闭要设置/etc/sysconfig/selinux下将"SELINUX=enforcing"改 ...

  8. SElinux(转)

    转自:http://www.361way.com/rh134-selinux/4653.html RH134小结(四)初识SElinux 2015年8月2日admin发表评论阅读评论   一.SEli ...

  9. Linux下MySQL/MariaDB Galera集群搭建过程

    MariaDB介绍 MariaDB是开源社区维护的一个MySQL分支,由MySQL的创始人Michael Widenius主导开发,采用GPL授权许可证. MariaDB的目的是完全兼容MySQL,包 ...

  10. centos7配置笔记

    原因:前两天服务器的硬盘出故障,报错:scsi 0:0:2:0: rejecting I/O to dead device,报这个错误的时候重启过一次,撑了一个月时间,现在直接导致整个文件系统崩溃.很 ...

随机推荐

  1. hibrenate @ManyToOne(fetch = FetchType.EAGER) 和 lazy 区别

    项目中在spring定时器中定时扫描订单想修改订单详细和会员信息时老是报错,说no session...但是在正常的后台操作action中又能用. 对hibernate一直不是很熟悉,只知道用. 如果 ...

  2. 帝国时代II 高清版 steam 4.4 字体替换 微软雅黑

    其实默认的中文字体算是中规中矩吧,但是我并不喜欢 从昨天开始就想着换 于是我就开始搜索帝国时代2的游戏目录的资源,马上就锁定到了\Steam\steamapps\common\Age2HD\resou ...

  3. PHP 逻辑思维题

    约瑟夫环 一群猴子排成一圈,按1,2,...,n依次编号.然后从第1只开始数,数到第m只,把它踢出圈,从它后面再开始数,再数到第m只,在把它踢出去...,如此不停的进行下去,直到最后只剩下一只猴子为止 ...

  4. poj 1659 Frogs' Neighborhood(出入度、可图定理)

    题意:我们常根据无向边来计算每个节点的度,现在反过来了,已知每个节点的度,问是否可图,若可图,输出一种情况. 分析:这是一道定理题,只要知道可图定理,就是so easy了  可图定理:对每个节点的度从 ...

  5. JavaScript DOM编程艺术第一章:JavaScript简史

    本系列的博客是由本人在阅读<JavaScript DOM编程艺术>一书过程中做的总结.前面的偏理论部分都是书中原话,觉得有必要记录下来,方便自己翻阅,也希望能为读到本博客的人提供一些帮助, ...

  6. NDK开发之Application.mk文件详解

    做过NDK开发的同学应该都知道有个Application.mk文件,这是android NDK构建系统使用的一个可选构建文件.它的目的是描述应用程序需要哪些模块,也定义了所有模块的一些通用变量.主要有 ...

  7. java编程思想-异常

    DynamicFields类的setField方法里面的getField方法抛出的异常NoSuchFieldException 为什么是throw new RuntimeException(e);

  8. 怎样获取android手机联系人并按字母展示(一)

    android提供了本地数据库的查询uri,能够查询出数据: 採用一个AsyncQueryHandler来进行查询, AsyncQueryHandler自己开启了线程来进行数据查询,非常方便 prot ...

  9. icon图标和文字整体居中在button按钮

    icon图标和文字整体居中在button按钮 icon图标和文字整体居中 一般我们常做的button按钮是文字居中 现在这个需要icon图标和文字一起居中在背景色 <a href="# ...

  10. gitlab备份、恢复、升级

    1.备份 gitlab的备份很简单,只要使用命令: gitlab-rake gitlab:backup:create 即可将当前的数据库.代码全部备份到/var/opt/gitlab/backups ...