SElinux管理

来源:https://www.cnblogs.com/heyongshen/archive/2022/08/04/16551006.html
-Advertisement-
Play Games

SElinux: 是Linux的一個強制訪問控制的安全模塊 SElinux的相關概念: 對象:文件、目錄、進程、埠等 主體:進程稱為主體 SElinux將所有的文件都賦予一個type類型的標簽,所有的進程也賦予一個domain類型的標簽。domain標簽能夠執行的操作由安全策略里定義 #ubunt ...


SElinux: 是Linux的一個強制訪問控制的安全模塊

SElinux的相關概念:

對象:文件、目錄、進程、埠等
主體:進程稱為主體
SElinux將所有的文件都賦予一個type類型的標簽,所有的進程也賦予一個domain類型的標簽。domain標簽能夠執行的操作由安全策略里定義

#ubuntu沒有使用selinux
安全策略:定義主體讀取對象的規則資料庫,定義那些行為是允許的,那些行為是拒絕的。

SElinux的四種工作類型

  • Strict:CentOS 5,每個進程都受到selinux的控制

  • targeted:用來保護常見的網路服務,僅有限進程受到selinux控制,只監控容易被入侵的進程

  • minimum:CentOS 7,修改的targeted,只對選擇的網路服務

  • mls:提供MLS(多級安全)機制的安全性

targeted為預設類型,其他三種都不再使用了

SElinux的安全上下文

安全上下文:就是一個標簽。規定只有特定標誌的進程才能訪問特定標識的文件或目錄

在linux中,一切皆文件
在selinux中,一切皆對象。

安全上下文有五個元素組成:

user:role:type:sensitivity:category

(1)User:指示登錄系統的用戶類型,進程:如system_u為系統服務進程,是受到管制的,unconfined_u為不管制的進程,用戶自己開啟的,如 bash,文件:system_u系統進程創建的文件, unconfined_u為用戶自已創建的文件

(2)Role:定義文件,進程和用戶的用途:進程:system_r為系統服務進程,受到管制。unconfined_r 為不管制進程,通常都是用戶自己開啟的,如 bash,文件:object_r

(3)Type:指定數據類型,規則中定義何種進程類型訪問何種文件Target策略基於type實現,多服務共用:public_content_t

(4)Sensitivity:限制訪問的需要,由組織定義的分層安全級別,如unclassified,secret,top,secret, 一個對象有且只有一個sensitivity,分0-15級,s0最低,Target策略預設使用s0

(5)Category:對於特定組織劃分不分層的分類,如FBI Secret,NSA secret, 一個對象可以有多個categroy, c0-c1023共1024個分類, Target 策略不使用category
啟用和禁用selinux
selinux的狀態
enforcing:啟用selinux,強制,每個受限的進程都必然受限

permissive:啟用selinux,但是違反了策略只會報警,不會阻止

disabled:不啟用selinux
相關命令

getenforce: 獲取selinux當前狀態

sestatus :查看selinux狀態

setenforce 0|1 0: 設置為permissive 1: 設置為enforcing

通過配置文件啟用或禁用
/boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

/boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

/etc/selinux/config 或 /etc/sysconfig/selinux 中 SELINUX=
{disabled|enforcing|permissive}

文件安全標簽的管理

給文件重新打標簽:chcon工具

chcon -R -t 上下文 目錄或者文件

#-R, --recursive:遞歸處理所有的文件及子目錄

恢覆文件的預設標簽:restorecon

restorecon [-R] /path/to/somewhere  #目錄文件就加R參數

修改預設的標簽:semanage工具

#查看預設的安全上下文
semanage fcontext -l

#添加安全上下文
semanage fcontext  -a -t httpd_sys_content_t   ‘/testdir(/.*)?’ #-a表示添加
restorecon -Rv /testdir

#刪除安全上下文
semanage fcontext  -d -t httpd_sys_content_t   ‘/testdir(/.*)?’

管理埠標簽

#查看埠標簽
semanage port -l

#添加埠
semanage port -a -t port_label -p tcp|udp PORT
semanage port -a -t http_port_t  -p tcp 9527

#刪除埠
semanage port -d -t port_label -p tcp|udp PORT
semanage port -d -t http_port_t  -p tcp 9527

#修改現有埠為新標簽
semanage port -m -t port_label -p tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

管理SELinux布爾值

對指定服務的功能進行設置,服務能否正常啟用和服務是否正常啟動和selinux對應的bool值是否開啟共同決定。

#布爾型規則:
getsebool
setsebool
#臨時生效,重啟就不生效了  永久生效: 加上一個大寫的P

#查看指定的服務是否開啟了
getsebool -a | grep 服務名

#查看bool命令:
getsebool [-a] [boolean]
semanage boolean -l
semanage boolean -l -C 查看修改過的布爾值

#設置bool值命令:
setsebool [-P] boolean value(on,off)
setsebool [-P] Boolean=value(1,0)

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 多線程下的數據安全 ​ 再以後的開發中,我們的項目都是運行在伺服器中,而伺服器已經將線程的定義,線程對象的創建,線程的啟動等,都已經實現完了。我們需要做的就是把編寫的程式放到一個多線程的環境下運行!確保這些數據在運行時都是安全的 一、線程存在安全的三個條件 多線程併發 有共用數據 共用數據有修改的行 ...
  • 在 Microsoft.Graphics.Canvas.Effects 命名空間 此命名空間提供了各種圖像效果處理。使用這些效果“大多數”都是簡單的配置下各個參數就可以實現效果,但是在 PixelShaderEffect 這個類使用情況就需要更複雜得多,今天我們就來介紹下 PixelShaderEf ...
  • 如何基於WPF實現一款資料庫文檔管理工具?SmartSQL正式基於WPF寫的這樣一款開源的資料庫文檔管理工具,包含的技術組件有HandyControl、SqlSugar、RazorEngine、iTextSharp、ZetaLongPaths等,用到的資料庫有SqlServer、MySql、Post... ...
  • 今天我們來瞭解一下ASP.NET MCV的基礎知識,ASP.NET是一種構建Web應用程式的框架,它將通常的MVC(Model-View-Controller)模式應用於ASP.NET框架。 ...
  • 有什麼大病。 粘包和半包問題是數據傳輸中比較常見的問題,所謂的粘包問題是指數據在傳輸時,在一條消息中讀取到了另一條消息的部分數據,這種現象就叫做粘包。 比如發送了兩條消息,分別為“ABC”和“DEF”,那麼正常情況下接收端也應該收到兩條消息“ABC”和“DEF”,但接收端卻收到的是“ABCD”,像這 ...
  • 好久沒寫文章了,有些同學問我公眾號是不是廢了?其實並沒有。其實想寫的東西很多很多,主要是最近公司比較忙,以及一些其他個人原因沒有時間來更新文章。這幾天抽空寫了一點點東西,證明公眾號還活著。 長久以來的認知,對於托管代碼 .NET / JAVA ,都是需要在伺服器上安裝 SDK 或者運行時的。比如 . ...
  • JetbrAIns Rider 2022 中文版是一個強大的跨平臺.Net開發IDE,可以與.NET Framework和.NET Core一起使用,也可以與Mono項目一起使用。因此,您可以使用rider 2022來創建類和庫,Web應用程式,獨立實用程式等。rider mac版是基於Intell ...
  • Linux系統基礎(二) 1、重定向 重定向 //將輸出的內容重定向到某個文件 //系統設定: 預設輸入設備 //標準輸入,STDIN,0 (鍵盤) 預設輸出設備 //標準輸出(顯示器) 標準正確輸出 //STDOUT,1 標準錯誤輸出 //STDERR,2 //I/O重定向: >:覆蓋輸出重定向 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...