当前位置: 首页 > news >正文

什么是Selinux

  官网地址:What is SELinux?

欢迎关注留言,我是收集整理小能手,工具翻译,仅供参考,笔芯笔芯.

概述

安全增强型 Linux (SELinux) 是Linux® 系统的安全架构,允许管理员更好地控制谁可以访问系统。它最初是由美国国家安全局 (NSA) 使用 Linux 安全模块 (LSM) 开发的一系列Linux内核补丁。  

SELinux于2000年发布到开源社区,并于2003年集成到上游Linux内核中。

免费试用支持 SELinux 的操作系统

SELinux 是如何工作的?

SELinux 定义了系统上应用程序、进程和文件的访问控制。它使用安全策略(一组规则告诉 SELinux 哪些内容可以访问或哪些内容不可以访问)来强制执行策略允许的访问。 

当应用程序或进程(称为主体)发出访问对象(如文件)的请求时,SELinux 会检查访问向量缓存 (AVC),其中缓存主体和客体的权限。

如果 SELinux 无法根据缓存的权限做出访问决策,则会将请求发送到安全服务器。安全服务器检查应用程序或进程以及文件的安全上下文。安全上下文是从 SELinux 策略数据库应用的。然后授予或拒绝许可。 

如果权限被拒绝,/var/log.messages 中将显示“avc:被拒绝”消息。

如何配置 SELinux 

您可以通过多种方式配置 SELinux 来保护您的系统。最常见的是有针对性的策略或多级安全 (MLS)。

目标策略是默认选项,涵盖一系列流程、任务和服务。MLS 可能非常复杂,通常仅由政府组织使用。 

您可以通过查看 /etc/sysconfig/selinux 文件来了解您的系统应该运行什么。该文件将有一个部分显示 SELinux 是否处于宽容模式、强制模式或禁用模式,以及应该加载哪个策略。

SELinux 标签和类型强制 

类型强制和标签是 SELinux 最重要的概念。

SELinux 作为一个标签系统,这意味着系统中的所有文件、进程和端口都有一个与之关联的 SELinux 标签。标签是将事物分组在一起的逻辑方式。内核在引导期间管理标签。

标签的格式为 user:role:type:level(级别是可选的)。用户、角色和级别用于更高级的 SELinux 实现,例如 MLS。标签类型对于有针对性的政策来说是最重要的。 

SELinux 使用类型强制来强制执行在系统上定义的策略。类型强制是 SELinux 策略的一部分,它定义以某种类型运行的进程是否可以访问标有某种类型的文件。

启用 SELinux

如果您的环境中已禁用 SELinux,您可以通过编辑 /etc/selinux/config 并设置 SELINUX=permissive 来启用 SELinux。由于 SELinux 目前尚未启用,因此您不想立即将其设置为强制执行,因为系统可能会出现错误标记的内容,从而导致系统无法启动。  

您可以通过在根目录中创建名为 .autorelabel 的空文件然后重新启动来强制系统自动重新标记文件系统。如果系统错误太多,您应该在宽容模式下重新启动,以便启动成功。重新标记所有内容后,使用 /etc/selinux/config 将 SELinux 设置为强制执行并重新启动,或运行 setenforce 1。 

如果系统管理员不太熟悉命令行,可以使用图形工具来管理 SELinux。 

SELinux 为Linux 发行版中内置的系统提供了额外的安全层。它应该保持打开状态,以便在系统受到损害时可以保护您的系统。

你对Linux了解多少?

在 Linux 传奇问答中测试您的知识并赢得徽章。

立即参加测验

自主访问控制 (DAC) 与强制访问控制 (MAC)

传统上,Linux 和 UNIX 系统都使用 DAC。SELinux 是 Linux 的 MAC 系统的一个示例。 

有了 DAC,文件和进程就有了所有者。您可以让用户拥有一个文件、一个组拥有一个文件或其他(可以是其他任何人)。用户可以更改自己文件的权限。

root 用户对 DAC 系统具有完全访问控制权。如果您具有 root 访问权限,那么您可以访问任何其他用户的文件或在系统上执行您想要的任何操作。 

但在像 SELinux 这样的 MAC 系统上,有关于访问的管理设置策略。即使您的主目录上的 DAC 设置发生更改,防止其他用户或进程访问该目录的 SELinux 策略也将确保系统安全。 

SELinux 策略让您能够具体化并涵盖大量进程。您可以使用 SELinux 进行更改以限制用户、文件、目录等之间的访问。

了解如何使用现代工具和技术管理 Linux 环境

如何处理 SELinux 错误

当您在 SELinux 中遇到错误时,有一些事情需要解决。这可能是以下 4 个常见问题之一:

  1. 标签是错误的。如果您的标签不正确,您可以使用工具来修复标签。
  2. 需要制定一项政策。这可能意味着您需要通知 SELinux 您所做的更改,或者您可能需要调整策略。您可以使用布尔值或策略模块来修复它。
  3. 该政策存在错误。策略中可能存在需要解决的错误。
  4. 系统已被侵入。尽管 SELinux 可以在许多情况下保护您的系统,但系统受到损害的可能性仍然存在。如果您怀疑情况确实如此,请立即采取行动。

什么是布尔值?

布尔值是 SELinux 中函数的开/关设置。有数百种设置可以打开或关闭 SELinux 功能,其中许多设置已经预定义。您可以通过运行 getsebool -a 来找出系统中已经设置了哪些布尔值。

视频:红帽的安全性和合规性方法

红帽可以提供帮助

红帽企业 Linux 是世界领先的开源 Linux 平台,使您能够降低风险、实施安全配置和策略以及简化合规策略。 

红帽企业 Linux 系统角色是受支持的 Ansible® 角色的集合,可确保一致的工作流程并简化手动任务的执行。系统角色可帮助团队自动化安全工作流程,并以最少的资源长期、大规模地维护它们,并简化治理和合规性要求。通过SELinux系统角色,您可以自动化SELinux的部署和管理。这包括: 

  • 使用强制或许可模式启用 SELinux,以确保控制的一致性。
  • 自定义 SELinux 策略布尔值、文件上下文、端口和登录以满足您的要求。
  • 利用系统角色来协调指定文件或目录的文件上下文。

查看selinux状态,以下命令都可以查

getenforcecat /etc/selinux/configsestatus

三种状态

enforcing (执行中)、permissive (不执行但产生警告)、disabled(关闭)

临时设置,重启后失效

#setenforce 0设置为permissive模式;setenforce 1 设置为enforcing模式;
setenforce 0   

永久设置,需要重启

sed -i s#SELINUX=enforcing#SELINUX=disabled# /etc/selinux/config
reboot

相关文章:

什么是Selinux

官网地址:What is SELinux? 欢迎关注留言,我是收集整理小能手,工具翻译,仅供参考,笔芯笔芯. 概述 安全增强型 Linux (SELinux) 是Linux 系统的安全架构,允许管理员更好地控制谁可以访问系统。它最初是由美…...

计算机网络知识点

1. URI 和 URL 统一资源定位符(Uniform Resource Locator,缩写:URL),是对资源的引用和访问该资源的方法。俗称网址,就是浏览器地址栏里面的内容。 URL 语法为:protocol://userInfohost:port/p…...

Qt 连接 Mysql

Linux下安装mysql及qt连接_liunx下安装mysql及qt链接-CSDN博客...

HarmonyOS4.0系统性深入开发14AbilityStage组件容器

AbilityStage组件容器 AbilityStage是一个Module级别的组件容器,应用的HAP在首次加载时会创建一个AbilityStage实例,可以对该Module进行初始化等操作。 AbilityStage与Module一一对应,即一个Module拥有一个AbilityStage。 DevEco Studio默…...

客服系统接入FastGPT

接入FastGPT 点击【应用】【外部使用】【API访问】【新建】新建一个KEY,同时也可以看到我们的API根地址 这个根地址和Key可以填入任何支持OpenAI接口的应用里,这个接口是兼容OpenAI格式。 在客服系统【知识库AI配置】里填上接口地址和接口密钥。这样我…...

Hi5 2.0 虚拟手与追踪器(Tracker)的位置修正

问题描述 使用环境与工具:Unity 2022.3.4fc1,steam VR(2.7.3),steamvrSDK(1.14.15),HTC vive pro专业版,Hi5 2.0数据手套 首先按照Hi5 2.0的使用说明(可参考:HI5 2.0 交…...

广播及代码实现

广播(Broadcast)是一种网络通信方式,它允许一台设备向网络中的所有其他设备发送消息。广播通常用于在网络上传递一些信息,让所有设备都能接收并处理。在广播中,通信的目标是整个网络而不是特定的单个设备。 向子网中…...

QT应用篇 三、QML自定义显示SpinBox的加减按键图片及显示值效果

QT应用篇 一、QT上位机串口编程 二、QML用Image组件实现Progress Bar 的效果 三、QML自定义显示SpinBox的加减按键图片及显示值效果 文章目录 QT应用篇前言一、qml需求二、使用组件1.SpinBox组件2.SpinBox中QML的使用 总结 前言 记录自己学习QML的一些小技巧方便日后查找 QT的…...

2022年全国职业院校技能大赛网络安全竞赛试题1-10-B模块总结

前言 结尾有对22年国赛题型总结 试题1模块B 网络安全事件响应、数字取证调查和应用安全 B-1任务一:主机发现与信息收集 *任务说明:仅能获取Server1的IP地址 1.通过渗透机Kali2.0对靶机场景进行TCP同步扫描 (使用Nmap工具),并将该操作使用…...

20231228在Firefly的AIO-3399J开发板的Android11的Firefly的AIO-3399J开发板的DTS配置单前置摄像头ov13850

20231228在Firefly的AIO-3399J开发板的Android11的Firefly的AIO-3399J开发板的DTS配置单前置摄像头ov13850 2023/12/28 12:30 开发板:Firefly的AIO-3399J【RK3399】 SDK:rk3399-android-11-r20211216.tar.xz【Android11】 Android11.0.tar.bz2.aa【ToyBr…...

php-fpm运行一段时间,内存不足

目录 一:原因分析 二:解决 三:观察系统情况 php-fpm运行一段时间,内存不足,是什么原因呢。 一:原因分析 1:首先php-fpm的配置 (1)启动的进程数 启动的进程数越多,占用内存越高; 2:其次…...

基于轻量级GhostNet模型开发构建生活场景下生活垃圾图像识别系统

轻量级识别模型在我们前面的博文中已经有过很多实践了,感兴趣的话可以自行移步阅读: 《移动端轻量级模型开发谁更胜一筹,efficientnet、mobilenetv2、mobilenetv3、ghostnet、mnasnet、shufflenetv2驾驶危险行为识别模型对比开发测试》 《基…...

《Linux系列》Linux磁盘MBR分区扩容

文章目录 Linux磁盘MBR分区扩容1.前言2.控制台磁盘扩容3.分区扩容3.1 fdisk3.2 lsblk3.3 扩容分区 4.扩容文件系统4.1 df4.2 扩容文件系统 Linux磁盘MBR分区扩容 1)参考阿里云扩容分区文档,整理MBR分区扩容 2)本文档适用于MBR分区(fdisk -lu查…...

IPv6地址配置

IPv6地址接口配置 IPv6地址结构 一个IPv6地址可以分为两部分: 网络前缀:n比特,相当于IPv4地址中的网络ID 接口标识:128-n比特,相当于IPv4地址中的主机ID 注意: 对于IPv6单播地址来说,如果地址的前三bit不是000,则接口标识必须为64位,如果地址的前三位是000,则没有此…...

Ubuntu20.04 防火墙配置

ubuntu 系统中配置防火墙 ufw(Uncomplicated Firewall)是一个简化的、易于使用的Linux防火墙工具,旨在方便用户管理iptables防火墙规则。 特点 简化的防火墙管理:ufw提供了一个简洁的命令行界面,让您能够轻松地添加、…...

Windows上ModbusTCP模拟Master与Slave工具的使用

场景 Modbus Slave 与 Modbus Poll主从设备模拟软件与Configure Virtual Serial串口模拟软件使用: Modebus Slave 与 Modbus Poll主从设备模拟软件与Configure Virtual Serial串口模拟软件使用_modbus poll激活-CSDN博客 数据对接协议为Modbus TCP,本地开发需要使…...

史上最细,13年老鸟总结-性能测试7大关键点,一篇打通...

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 1、测试环境的鉴定…...

长虹智能电视ZLM60HiS机芯刷机方法及刷机固件,附进维修模式方法

适配机芯:ZLM60HiS 型号:Q1FU、D6000i、U3、D8000ID 软件强制升级方法: 1、下载后解压,找到upgrade_ZLM60HiS_MT5508_V1.00xxx_part.pkg 、chandroid_ota_ZLM60HiS_datapart.zip复制到U盘根目录(不要有任何文件夹&a…...

计算机网络【Google的TCP BBR拥塞控制算法深度解析】

Google的TCP BBR拥塞控制算法深度解析 宏观背景下的BBR 慢启动、拥塞避免、快速重传、快速恢复: 说实话,这些机制完美适应了1980年代的网络特征,低带宽,浅缓存队列,美好持续到了2000年代。 随后互联网大爆发&#x…...

lvs+keepalived+nginx实现四层负载+七层负载

目录 一、lvs配置 二、nginx配置 三、测试 3.1 keepalived负载均衡 3.2 lvskeepalived高可用 3.3 nginx高可用 主机IPlvs01-33 11.0.1.33 lvs02-3411.0.1.34nginx0111.0.1.31nginx0211.0.1.32VIP11.0.1.30 4台主机主机添加host [rootnginx01 sbin]# cat /etc/hosts 127.0.0.…...

独立看门狗与窗口看门狗

一、简介 STM32F10xxx内置两个看门狗,提供了更高的安全性、时间的精确性和使用的灵活性。两个看门狗设备(独立看门狗和窗口看门狗)可用来检测和解决由软件错误引起的故障;当计数器达到给定的超时值时,触发一个中断(仅适用于窗口型看门狗)或产…...

【CTF杂项】常见文件文件头文件尾格式总结 各类文件头

常见文件文件头文件尾格式总结及各类文件头 以下是常见文件的文件头格式总结及各类文件头的描述: 图像文件: JPEG:文件头格式为FF D8 FF,文件尾格式为FF D9。PNG:文件头格式为89 50 4E 47 0D 0A 1A 0A,文件…...

深度学习-模型转换_所需算力相关

模型转换相关 tensflow转onnx python -m tf2onnx.convert \--graphdef /root/autodl-tmp/warren/text-detection-ctpn/data/ctpn.pb \--output ./model.onnx --inputs Placeholder:0 --outputs Reshape_2:0,rpn_bbox_pred/Reshape_1:0 pytorch转onnx #!/usr/…...

Koordinator 助力云原生应用性能提升:小红书混部技术实践

作者:宋泽辉(小红书)、张佐玮(阿里云) 编者按: Koordinator 是一个开源项目,是基于阿里巴巴内部多年容器调度、混部实践经验孵化诞生,是行业首个生产可用、面向大规模场景的开源混…...

java中如何使用elasticsearch—RestClient操作文档(CRUD)

目录 一、案例分析 二、Java代码中操作文档 2.1 初始化JavaRestClient 2.2 添加数据到索引库 2.3 根据id查询数据 2.4 根据id修改数据 2.4 删除操作 三、java代码对文档进行操作的基本步骤 一、案例分析 去数据库查询酒店数据,导入到hotel索引库&#xff0…...

MySQL自定义函数

MySQL自定义函数 函数与存储过程类似,也是一组预先编译好的SQL语句的集合,但是存储过程可以有0个或多个返回,函数就只能有一个返回 创建函数 #语法 参数列表包含两部分 参数名和参数类型 #函数体必须有return语句 且每个sql语句后要以;结尾 所…...

技术学习|CDA level I 数据库应用(数据操作语言DML)

数据操作语言(DML)是对表中记录进行添加、更新、删除等操作的语言。 一、添加数据 在数据表中填充数据有两种方法,第一种方法是使用insert into语句向数据表中直接录入每行数据信息,但并不常用,因为分析使用的数据很…...

关键字:instanceof关键字

在 Java 中,instanceof关键字用于检查一个对象是否是某个特定类或其子类的实例。它的语法如下: 其中,Object是要检查的对象,Class是要检查的类或接口。 instanceof关键字的返回值是一个布尔值,如果对象Object是类Cla…...

【LeetCode:34. 在排序数组中查找元素的第一个和最后一个位置 | 二分】

🚀 算法题 🚀 🌲 算法刷题专栏 | 面试必备算法 | 面试高频算法 🍀 🌲 越难的东西,越要努力坚持,因为它具有很高的价值,算法就是这样✨ 🌲 作者简介:硕风和炜,…...

年度征文|回顾2023我的CSDN

一年转眼而逝,回顾这一年在csdn的创作,学习,记录历程。回顾过去,才能展望未来,首先看图说话。 今年在csdn的访问量已由年初的2万到年末的50w。粉丝有年初的300个左右,增加到4000个左右。我年初的目标是粉丝…...

网站ar怎么做/怎样申请自己的电商平台

做过radiobutton的人都知道,它自带有图标,但是 俺上下键却没有出现选中的图标,我现在要实现这样的效果 下下键时 出现 radiobutton我不知道是如何实现的(没找到,如果有知道的 请分享一下哈) 我是采用listv…...

建设施工合同备案在哪个网站/游戏推广话术技巧

我在用网页.py从Oracle创建一个简单的报告页。当我使用vars传递参数的最佳实践方法时,延迟是11-12秒。当我使用字符串替换执行相同的查询时,查询将在不到一秒钟的时间内运行。我是这样检查的:sql """SELECT a, b, cFROM my_t…...

网站建设初学者必学/seo 优化公司

目录 分析静态页面静态vs动态本次项目页面分析模板抽取base目录下的base.htmlnewsnews下主页index.htmlnews下的new_detail.htmlnews下search.htmldocdoc下docDownload.htmlusersusers下的login.htmlusers下的registercoursecourse下的course.htmlcourse下的course_detail.html…...

企业英文网站建设的重要性/百度账户推广登陆

电话号码的字母组合 给定一个仅包含数字 2-9 的字符串,返回所有它能表示的字母组合。答案可以按 任意顺序 返回。 给出数字到字母的映射如下(与电话按键相同)。注意 1 不对应任何字母。 示例 1: 输入:digits “2…...

长子网站建设/网站维护一般都是维护什么

目录 分布式系统的近似统计算法 Min聚合分析的执行流程 Terms Aggregation Term 聚合的分析流程 Terms不正确的案例 解决Terms不准的问题: 提升shard_size的参数 打开show_term_doc_count_error 分布式系统的近似统计算法 数据量很大且精准度要求高:Hadoop离线计算 精确…...

建站优化内容/百度客服电话人工服务热线电话

df命令磁盘分区空间du命令查看文件大小磁盘分区磁盘格式化磁盘挂载mount手动增加swap空间lvm讲解一、df命令磁盘分区空间使用df可以查看文件系统的使用情况(即磁盘分区空间),linux系统必须通过挂载点才能查看磁盘的内容。第一列:磁盘分区的名字第二列&am…...