首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

SELinux的基本使用

所以,在没有自行开发网络服务软件以及使用其他第三方协力软件的情况下,也就是全部使用 CentOS 官方提供的软件来使用我们服务器的情况下,建议大家不要关闭 SELinux !...+ mls:完整的 SELinux 限制,限制方面较为严格。 建议使用预设的 targeted 政策即可。...观察安全性本文可使用『 ls -Z 』去观察如下:(注意:你必须已经启动了 SELinux 才行!若尚未启动,这部份请稍微看过一遍即可。底下会介绍如何启动 SELinux!)...那么这个 SELinux 的三种模式与上面谈到的政策规则、安全本文的关系为何呢?我们还是使用图标加上流程来让大家理解一下: ?...如上所示,你可以使用 semanage 来查询所有的目录默认值,也能够使用他来增加默认值的设定!如果您学会这些基础的工具,那么 SELinux 对你来说,也不是什么太难的!

2.5K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    安全利器 — SELinux

    一、初识 SELinux SELinux 的价值 :实现 MAC 机制,增强抵御未知危害的能力。 SELinux 的出生 :NSA(美国国家安全局)和 SELinux 社区的联合项目。...SELinux 干了哪些活 :定义一套 MAC 的权限系统,对系统内的一切资源(文件)打上标记(安全上下文),使用安全策略来控制资源访问。用户同时通过 DAC 和 MAC 的检查,才能访问资源。...[图1] selinux 的用户管理中,能跟踪一个登陆用户,即使用户通过 su 命令切换了身份,也被 selinux 视为同一个用户。...** SELinux 工作模式可以通过 /etc/selinux/config 配置文件中 SELINUX 参数来配置,参考配置: SELINUX=enforcing | permissive |...(易树国 | 天存信息) Ref SELinux Project semanage - SELinux Policy Management tool semodule - Manage SELinux

    1.2K10

    SELinux 是什么?

    由于不同平台对这这项技术没有广泛使用,NAS认为需要在大量的社团中展示这个技术,以说明它的持久生命力,并收集广泛的使用支持意见。...NSA和SELinux社区是SELinux的主要贡献者,SELinux帮助LSM实现了大量的需求,为了与LSM一起工作,NSA开始修改SELinux使用LSM框架。...数个Linux发行版开始在2.6内核中不同程度使用SELinux特性,但最主要是靠Red Hat发起的Fedora Core项目才使SELinux具备企业级应用能力,NSA和Red Hat开始联合集成SELinux...2.2 DAC 在没有使用 SELinux 的操作系统中,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。 只要访问这个资源的进程符合以上的条件就可以被访问。...这种权限管理机制的主体是用户,也称为自主访问控制(DAC); 2.3 MAC 在使用SELinux 的操作系统中,决定一个资源是否能被访问的因素除了上述因素之外,还需要判断每一类进程是否拥有对某一类资源的访问权限

    3.1K50

    SELINUX工作原理

    一般情况下只有非常注重数据安全的企业级用户才会使用SELinux。 操作系统有两类访问控制:自主访问控制(DAC)和强制访问控制(MAC)。...SELinux伪文件系统 /selinux/伪文件系统kernel子系统通常使用的命令,它类似于/proc/伪文件系统。系统管理员和用户不需要操作这部分。...=0,-P表示即使用reboot之后,仍然有效。...,主要是保密控制应用程序的一个子集,传统的多级安全(MLS)MAC与类型强制一起使用显得更有价值,在这些情况下,SELinux总是包括某种格式的MLS功能,MLS特性是可选的,在SELinux的两个MAC...在大多数SELinux策略中,敏感度(s0,s1,...)和范畴(c0,c1,...)使用通配名,将它留给用户空间程序和程序库,以指定有意义的用户名。

    2.6K20

    【Linux】如何管理SELinux

    如果是复制一个保留SELinux上下文的文件(正如使用cp -a 命令),则 SELinux上下文将反映原始文件的位置。...更改SELinux上下文 semanage fcontext命令,声明文件的默认标签,将标签添加至数据库中,需要使用estorecon恢复时才可生效 选项 描述 -a,–add 添加指定对象类型的记录...此外,如果对整个文件系统进行重新标记,则使用chcon更改过的文件的SELinux上下文将恢复 semanage fcontext命令用于显示和修改默认规则,restorecon命令将使用这个规则恢复文本默认规则...semanage fcontext命令使用扩展的正则表达式指定路径和文件名。比较常见的扩展正则表达式(/.*)?,表示随意匹配/后面接任意数量字符,递归匹配文件夹下的子文件和子文件夹。...示例: 定义文件默认SELinux上下文 下面代码使用semanage fcontext命令为/test目录添加了默认标签,并使用estorecon命令对目录进标签的更新 [root@et8en ~]#

    16910

    SELinux入门学习总结

    SELinux 就是来解决这个问题的。 2 DAC 在没有使用 SELinux 的操作系统中,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。...3 MAC 在使用SELinux 的操作系统中,决定一个资源是否能被访问的因素除了上述因素之外,还需要判断每一类进程是否拥有对某一类资源的访问权限。...需要注意的是,可信度只是一个参考值,并不代表使用可信度最高的解决方案就一定可以解决问题。我个人感觉使用可信度越高的解决方案对系统的改动就越小。...最后,请谨慎使用 audit2allow 这个命令。这个命令的作用非常简单粗暴,就是强制允许所遇到的错误然后封装成一个 SELinux 模块,接着让 SELinux 加载这个模块来达到消除错误的目的。...不是万不得已建议不要随便使用 audit2allow。

    95330

    使用sestatus命令来查看SELinux的当前状态

    SELinuxfs mount:这是SELinux临时文件系统的挂载点。这是SELinux内部使用的。可以使用ls命令查看该目录。...SELinux root directory:这是所有SELinux配置文件所在的位置。该目录包含SELinux所需的所有配置文件,我们可以修改这些文件。...MLS非常复杂,在大多数情况下几乎不使用。 Current mode:表示SELinux当前是否正在执行策略。有一下三种模式: enforcing - 表示已强制执行SELinux安全策略。...2.在sestatus中显示所选对象的安全上下文 使用选项-v可以显示在/etc/sestatus.conf文件中列出的文件和进程的SELinux上下文。...3.在sestatus中显示布尔值 使用-b选项,可以显示布尔值的当前状态,如下所示在“ Policy booleans:”部分中显示所有参数的当前SELinux布尔值。

    1.4K40

    SELinux深入理解

    一般情况下只有非常注重数据安全的企业级用户才会使用SELinux。 操作系统有两类访问控制:自主访问控制(DAC)和强制访问控制(MAC)。...SELinux伪文件系统 /selinux/伪文件系统kernel子系统通常使用的命令,它类似于/proc/伪文件系统。系统管理员和用户不需要操作这部分。...配置SELinux有如下两种方式: 1) 使用配置工具:Security Level Configuration Tool (system-config-selinux) 2)...可使用如下工具设置每个daemon的布尔值: 1) getsebool -a: 列出SELinux的所有布尔值 2) setsebool: 设置SELinux布尔值,...在大多数SELinux策略中,敏感度(s0,s1,...)和范畴(c0,c1,...)使用通配名,将它留给用户空间程序和程序库,以指定有意义的用户名。

    2.5K30

    SELinux 安全模型——TE

    SELinux 安全模型——TE 通过前面的示例策略,大家对 SELinux 应该有那么点感觉认识了,从这篇开始的三篇文章讲述 SELinux 的三种安全模型,会涉及一些代码,旨在叙述 SELinux...TE:Type Enforcement,SELinux 最主要的安全模型,每一个主体客体都被分配一个类型,且使用白名单策略决定指定类型之间的访问权限。...这是 SELinux 对 BLP(Bell-La Padula Model) 模型的实现,编写策略可实现 "no read up, no write down" 本篇文章讲述 SELinux 最重要的安全模型...AVC TE 规则当中又数 AV 规则使用的最频繁,为了加快查找速度,内核设计了 AVC,Access Vector Cache。...我们上层的种种操作,其背后都需要各种权限,在 SELinux 安全检查的时候都会进行 SELinux 权限检查。

    29300
    领券