SElinux管理

来源:https://www.cnblogs.com/heyongshen/archive/2022/08/04/16551006.html
-Advertisement-
Play Games

SElinux: 是Linux的一個強制訪問控制的安全模塊 SElinux的相關概念: 對象:文件、目錄、進程、埠等 主體:進程稱為主體 SElinux將所有的文件都賦予一個type類型的標簽,所有的進程也賦予一個domain類型的標簽。domain標簽能夠執行的操作由安全策略里定義 #ubunt ...


SElinux: 是Linux的一個強制訪問控制的安全模塊

SElinux的相關概念:

對象:文件、目錄、進程、埠等
主體:進程稱為主體
SElinux將所有的文件都賦予一個type類型的標簽,所有的進程也賦予一個domain類型的標簽。domain標簽能夠執行的操作由安全策略里定義

#ubuntu沒有使用selinux
安全策略:定義主體讀取對象的規則資料庫,定義那些行為是允許的,那些行為是拒絕的。

SElinux的四種工作類型

  • Strict:CentOS 5,每個進程都受到selinux的控制

  • targeted:用來保護常見的網路服務,僅有限進程受到selinux控制,只監控容易被入侵的進程

  • minimum:CentOS 7,修改的targeted,只對選擇的網路服務

  • mls:提供MLS(多級安全)機制的安全性

targeted為預設類型,其他三種都不再使用了

SElinux的安全上下文

安全上下文:就是一個標簽。規定只有特定標誌的進程才能訪問特定標識的文件或目錄

在linux中,一切皆文件
在selinux中,一切皆對象。

安全上下文有五個元素組成:

user:role:type:sensitivity:category

(1)User:指示登錄系統的用戶類型,進程:如system_u為系統服務進程,是受到管制的,unconfined_u為不管制的進程,用戶自己開啟的,如 bash,文件:system_u系統進程創建的文件, unconfined_u為用戶自已創建的文件

(2)Role:定義文件,進程和用戶的用途:進程:system_r為系統服務進程,受到管制。unconfined_r 為不管制進程,通常都是用戶自己開啟的,如 bash,文件:object_r

(3)Type:指定數據類型,規則中定義何種進程類型訪問何種文件Target策略基於type實現,多服務共用:public_content_t

(4)Sensitivity:限制訪問的需要,由組織定義的分層安全級別,如unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級,s0最低,Target策略預設使用s0

(5)Category:對於特定組織劃分不分層的分類,如FBI Secret,NSA secret, 一個對象可以有多個categroy, c0-c1023共1024個分類, Target 策略不使用category
啟用和禁用selinux
selinux的狀態
enforcing:啟用selinux,強制,每個受限的進程都必然受限

permissive:啟用selinux,但是違反了策略只會報警,不會阻止

disabled:不啟用selinux
相關命令

getenforce: 獲取selinux當前狀態

sestatus :查看selinux狀態

setenforce 0|1 0: 設置為permissive 1: 設置為enforcing

通過配置文件啟用或禁用
/boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

/boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

/etc/selinux/config 或 /etc/sysconfig/selinux 中 SELINUX=
{disabled|enforcing|permissive}

文件安全標簽的管理

給文件重新打標簽:chcon工具

chcon -R -t 上下文 目錄或者文件

#-R, --recursive:遞歸處理所有的文件及子目錄

恢覆文件的預設標簽:restorecon

restorecon [-R] /path/to/somewhere  #目錄文件就加R參數

修改預設的標簽:semanage工具

#查看預設的安全上下文
semanage fcontext -l

#添加安全上下文
semanage fcontext  -a -t httpd_sys_content_t   ‘/testdir(/.*)?’ #-a表示添加
restorecon -Rv /testdir

#刪除安全上下文
semanage fcontext  -d -t httpd_sys_content_t   ‘/testdir(/.*)?’

管理埠標簽

#查看埠標簽
semanage port -l

#添加埠
semanage port -a -t port_label -p tcp|udp PORT
semanage port -a -t http_port_t  -p tcp 9527

#刪除埠
semanage port -d -t port_label -p tcp|udp PORT
semanage port -d -t http_port_t  -p tcp 9527

#修改現有埠為新標簽
semanage port -m -t port_label -p tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

管理SELinux布爾值

對指定服務的功能進行設置,服務能否正常啟用和服務是否正常啟動和selinux對應的bool值是否開啟共同決定。

#布爾型規則:
getsebool
setsebool
#臨時生效,重啟就不生效了  永久生效: 加上一個大寫的P

#查看指定的服務是否開啟了
getsebool -a | grep 服務名

#查看bool命令:
getsebool [-a] [boolean]
semanage boolean -l
semanage boolean -l -C 查看修改過的布爾值

#設置bool值命令:
setsebool [-P] boolean value(on,off)
setsebool [-P] Boolean=value(1,0)

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 多線程下的數據安全 ​ 再以後的開發中,我們的項目都是運行在伺服器中,而伺服器已經將線程的定義,線程對象的創建,線程的啟動等,都已經實現完了。我們需要做的就是把編寫的程式放到一個多線程的環境下運行!確保這些數據在運行時都是安全的 一、線程存在安全的三個條件 多線程併發 有共用數據 共用數據有修改的行 ...
  • 在 Microsoft.Graphics.Canvas.Effects 命名空間 此命名空間提供了各種圖像效果處理。使用這些效果“大多數”都是簡單的配置下各個參數就可以實現效果,但是在 PixelShaderEffect 這個類使用情況就需要更複雜得多,今天我們就來介紹下 PixelShaderEf ...
  • 如何基於WPF實現一款資料庫文檔管理工具?SmartSQL正式基於WPF寫的這樣一款開源的資料庫文檔管理工具,包含的技術組件有HandyControl、SqlSugar、RazorEngine、iTextSharp、ZetaLongPaths等,用到的資料庫有SqlServer、MySql、Post... ...
  • 今天我們來瞭解一下ASP.NET MCV的基礎知識,ASP.NET是一種構建Web應用程式的框架,它將通常的MVC(Model-View-Controller)模式應用於ASP.NET框架。 ...
  • 有什麼大病。 粘包和半包問題是數據傳輸中比較常見的問題,所謂的粘包問題是指數據在傳輸時,在一條消息中讀取到了另一條消息的部分數據,這種現象就叫做粘包。 比如發送了兩條消息,分別為“ABC”和“DEF”,那麼正常情況下接收端也應該收到兩條消息“ABC”和“DEF”,但接收端卻收到的是“ABCD”,像這 ...
  • 好久沒寫文章了,有些同學問我公眾號是不是廢了?其實並沒有。其實想寫的東西很多很多,主要是最近公司比較忙,以及一些其他個人原因沒有時間來更新文章。這幾天抽空寫了一點點東西,證明公眾號還活著。 長久以來的認知,對於托管代碼 .NET / JAVA ,都是需要在伺服器上安裝 SDK 或者運行時的。比如 . ...
  • JetbrAIns Rider 2022 中文版是一個強大的跨平臺.Net開發IDE,可以與.NET Framework和.NET Core一起使用,也可以與Mono項目一起使用。因此,您可以使用rider 2022來創建類和庫,Web應用程式,獨立實用程式等。rider mac版是基於Intell ...
  • Linux系統基礎(二) 1、重定向 重定向 //將輸出的內容重定向到某個文件 //系統設定: 預設輸入設備 //標準輸入,STDIN,0 (鍵盤) 預設輸出設備 //標準輸出(顯示器) 標準正確輸出 //STDOUT,1 標準錯誤輸出 //STDERR,2 //I/O重定向: >:覆蓋輸出重定向 ...
一周排行
    -Advertisement-
    Play Games
  • 使用原因: 在我們服務端調用第三方介面時,如:支付寶,微信支付,我們服務端需要模擬http請求並加上一些自己的邏輯響應給前端最終達到我們想要的效果 1.使用WebClient 引用命名空間 using System.Net; using System.Collections.Specialized; ...
  • WPF 實現帶蒙版的 MessageBox 消息提示框 WPF 實現帶蒙版的 MessageBox 消息提示框 作者:WPFDevelopersOrg 原文鏈接: https://github.com/WPFDevelopersOrg/WPFDevelopers.Minimal 框架使用大於等於.N ...
  • 一、JSON(JavaScript Object Notation)的簡介: ① JSON和XML類似,主要用於存儲和傳輸文本信息,但是和XML相比,JSON更小、更快、更易解析、更易編寫與閱讀。 ② C、Python、C++、Java、PHP、Go等編程語言都支持JSON。 二、JSON語法規則: ...
  • 1.避免Scoped模式註冊的服務變成Singleton模式 當提供一個生命周期模式為Singleton的服務實例時,如果發現該服務中還依賴生命周期模式為Scoped的服務實例(Scoped服務實例將被一個Singleton服務實例所引用),那麼這個被依賴的Scoped服務實例最終會成為一個Sing ...
  • 索引時資料庫提高數據查詢處理性能的一個非常關鍵的技術,索引的使用可以對性能產生上百倍甚至上千倍的影響。接下來,會介紹索引的基本原理、概念,並深入學習資料庫中所使用的索引結構和存儲方式,以及如何管理、維護索引等。 1.索引的基本概念 索引時用來快速查詢表記錄的一種存儲結構,一般使用索引有一下兩個方面: ...
  • django2 路由控制器 Route路由,是一種映射關係。路由是把客戶端請求的url路徑和用戶請求的應用程式,這裡意指django裡面的視圖進行綁定映射的一種關係。 請求路徑和視圖函數不是一一對應的關係 在django中所有的路由最終都被保存到一個叫urlpatterns的文件里,並且該文件必須在 ...
  • 1、我們的目標是獲取微博某博主的全部圖片、視頻 2、拿到網址後 我們先觀察 打開F12 隨著下滑我們發現載入出來了一個叫mymblog的東西,展開響應發現需要的東西就在裡面 3、重點來了!!! 通過觀察發現第二頁比第一頁多了參數since_id 而第二頁的since_id參數剛好在上一頁中能獲取到, ...
  • 一、實現原理 在Servlet3協議規範中,包含在JAR文件/META-INFO/resources/路徑下的資源可以直接訪問。 二、舉例說明 如下圖所示,是我新建的一個Spring Boot Starter項目:zimug-minitor-threadpool,用於實現可配置、可觀測的線程池。其中 ...
  • 精華筆記: static final常量:應用率高 必須聲明同時初始化 由類名打點來訪問,不能被改變 建議:常量所有字母都大寫,多個單詞用_分隔 編譯器在編譯時會將常量直接替換為具體的數,效率高 何時用:數據永遠不變,並且經常使用 抽象方法: 由abstract修飾 只有方法的定義,沒有具體的實現( ...
  • Python有一個for...else語法,它的寫法如下 for i in range(0,100): if i == 3: break else: print("Not found") 該語句表示:若for迴圈遍歷完畢,則執行else部分的語句。也就是說上述代碼不會有任何輸出,而下述代碼會輸出“N ...