• 所有问题

    • 运维的小伙伴应该知道的安全模块SELinux

    如题所述

    举报该问题
    其他回答
    第1个回答  2022-07-09

    Security-Enhanced Linux ,是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的 Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核 2.6版本后集成在内核中

    DAC:Discretionary Access Control自由访问控制

    MAC:Mandatory Access Control 强制访问控制

    对象(object):所有可以读取的对象,包括文件、目录和进程,端口等

    主体:进程称为主体(subject)

    SELinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋 予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义

    当一个subject试图访问一个object,Kernel中的策略执行服务器将检查AVC (访 问矢量缓存Access Vector Cache), 在AVC中,subject和object的权限被缓存 (cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问

    安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用 哪个方法读取哪一个对象是允许还是拒绝的,并且定义了哪种行为是充许或拒绝

    SELinux有四种工作类型:

    targeted为默认类型,minimum和mls稳定性不足,未加以应用,strict已不再 使用

    传统Linux,一切皆文件,由用户,组,权限控制访问

    在SELinux中,一切皆对象(object),由存放在inode的扩展属性域的安全元 素所控制其访问

    所有文件和端口资源和进程都具备安全标签:安全上下文(security context) 安全上下文有五个元素组成:

    user:role:type:sensitivity:category

    user_u:object_r:tmp_t:s0:c0

    实际上下文:存放在文件系统中,ls –Z;ps –Z

    期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下 文)中

    semanage fcontext –l

    配置SELinux:

    SELinux的状态:

    相关命令:

    getenforce: 获取selinux当前状态

    sestatus :查看selinux状态

    setenforce 0|1

    配置文件:

    /boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

    /boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

    /etc/selinux/config

    /etc/sysconfig/selinux

    给文件重新打安全标签:

    chcon [OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE…

    chcon [OPTION]… --reference=RFILE FILE…

    恢复目录或文件默认的安全上下文:

    restorecon [-R] /path/to/somewhere

    semanage:来自policycoreutils-python包

    查看默认的安全上下文

    semanage fcontext –l

    添加安全上下文

    semanage fcontext -a –t httpd_sys_content_t ‘/testdir(/.*)?’ restorecon –Rv /testdir

    删除安全上下文

    semanage fcontext -d –t httpd_sys_content_t ‘/testdir(/.*)?’

    查看端口标签

    semanage port –l

    添加端口

    semanage port -a -t port_label -p tcp|udp

    PORT

    semanage port -a -t http_port_t -p tcp 9527

    删除端口

    semanage port -d -t port_label -p tcp|udp

    PORT

    semanage port -d -t http_port_t -p tcp 9527

    修改现有端口为新标签

    semanage port -m -t port_label -p tcp|udp

    PORT

    semanage port -m -t http_port_t -p tcp 9527

    布尔型规则:

    getsebool

    setsebool

    查看bool命令:

    getsebool [-a] [boolean]

    semanage boolean –l

    semanage boolean -l –C 查看修改过的布尔值

    设置bool值命令:

    setsebool [-P] boolean value(on,off)

    setsebool [-P] Boolean=value(1,0)

    yum install setroubleshoot(重启生效)

    将错误的信息写入/var/log/message

    grep setroubleshoot /var/log/messages

    查看安全事件日志说明

    sealert -l UUID

    扫描并分析日志

    sealert -a /var/log/audit/audit.log

    相似回答
    selinux是什么意思?答:Selinux全称为Security-Enhanced Linux,中文意思是“安全增强的Linux系统”。它是一种安全的操作系统,是对Linux操作系统的标准安全模块的扩展,可以在核心中实现强制访问控制(MAC)。这意味着它提供了更高级别的安全功能,以保护系统不受恶意攻击和病毒感染的危害。Selinux的主要功能是控制程序对系统资源的...
    SELinux发展历程答:SELinux,全称“Security-Enhanced Linux”,是由美国国家安全局(NSA)和Secure Computing Corporation共同开发的Linux扩展安全模块。其起源可以追溯到Fluke项目,于2000年以GNU GPL许可方式公开发布。随着Linux在互联网服务器领域的广泛应用,我在项目中接触到的Web开发几乎都基于Linux,涵盖了大型企业、政府部门...
    深入解析Linux系统中的SELinux访问控制功能答:它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。 SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个...
    linux 的系统日志如何防止被篡改?答:要防止Linux系统日志被篡改,可以采取以下措施:1. 使用SELinux(Security-Enhanced Linux):SELinux是一个基于Linux内核的强制访问控制(MAC)安全模块。它可以帮助保护系统文件和日志,防止未经授权的访问和篡改。2. 定期备份日志文件:通过定期备份日志文件,可以在日志被篡改后恢复到正常状态。可以使用cron...
    linux 为什么关闭selinux答:一般安装linux课程时都把SELinux与iptables安排在后面,使初学者配置linux服务器时不成功,却没有头绪,那是因为在RedHat linux操作系统中默认开启了防火墙,SELinux也处于启动状态,一般状态为enforing。致使很多服务端口默认是关闭的。所以好多服务初学者明明配置文件正确,等验证时有时连ping也ping不通。建议...
    linux安全加固linux系统安全加固答:应用运维方面 :基础:Linux基础/对应的语言环境,如tomcat/LAMP/LNMP这些要能掌握安装、配置、日常维护操作 进阶:Linux存储管理/安全加固/进程资源管理/网络管理,其他应用中间件如缓存(redis/memcached)、MQ(ActiveMQ/RabbitMQ等)、服务发现和治理中间件(如zookeeper)、配置管理工具(如Puppet/Saltstack...
    大家正在搜
    运维管理模块为运维管理员提供运维管控模块的管理安全运维做什么的python运维模块python运维常用模块python 系统运维模块运维中心分为哪三个模块变电运维技能调考模块什么叫运维什么叫运维