什麼是selinux?
在核心2.6版本之前linux的安全模型叫dac(discretionary access contorl,即自主訪問控制)。
dac的核心思想:程序想要訪問某資源,只需要擁有該資源對應使用者的許可權(讀、寫、執行)即可以訪問,也就是說程序所擁有的許可權與執行該程序的使用者的許可權相同,只要執行程序的使用者擁有某資源的許可權,該程序即可以訪問。比如:搞到了root許可權,在linux系統上就能幹任何事情。
selinux是由美國****局(nsa)對於強制訪問控制的實現,在linux社群幫助下開發的一種訪問控制體系。核心思想:程序想要訪問某資源,除了需要擁有該資源對應的使用者許可權因素之外,還需要判斷每一類程序是否擁有對某一類資源的訪問許可權。
selinux主要作用就是最大限度的減小系統中服務程序可訪問的資源(最小許可權原則),selinux的安全模型叫mac(mandatory access control,強制訪問控制)
selinux的三種工作模式
selinux的工作模式可以在/etc/selinux/config中配置。
1、 enforcing:強制模式,違反selinux規則的行為將被阻止並記錄到日誌中。用「1」表示。
2、 permissive:寬容模式,當違反seliunx的行為規則時,會發出警告並記錄到日誌中,但是不會被阻止,一般都是除錯用。用「0」表示。
3、 disabled:關閉selinux,不使用seliunx
可以通過命令設定當前會話的selinux工作模式,即臨時生效,想要永久生效必須寫進配置檔案中:
setenforce [0|1]
getenforce檢視selinux的狀態。
企業生產環境中在做系統初始化的時候,就會選擇把selinux關閉,因為selinux中的規則非常複雜,如果開啟會使生產環境出現很多問題,維護成本高。
模型理解 對FM模型核心思想的理解
在 深入ffm原理與實踐 中提到 所有二次項引數 wij w wi j 可以組成乙個對稱陣 w ww,那麼這個矩陣就可以分解為w v tv w v tv w vtv,v vv 的第 j jj 列便是第 j jj 維特徵的隱向量。換句話說,每個引數 wij vi vj w left langle v ...
安全模型分析核心
目錄說白了乙個應用的安全,我們往往其實關注的是 有缺陷,以致各種引起經濟,隱私,資料的損失。所以其實不管是哪一種已經成形的安全模型其實逃不了以下幾步 拆解應用 風險評級 針對策略或者更新 對於拆解乙個既定的應用程式,什麼才是最重要的,最需要安全保護的呢。應該是資料 data 黑客們會關注這個程式執行...
selinux(核心級的安全防火牆)
selinux getenforce 檢視selinux狀態 setenforce 0 1 改變selinux狀態 0 permissive 警告狀態 1 enforcing 強制狀態 當selinux狀態為disable時,會看到乙個?touch file ls z 檢視安全上下文 此時我們需要開...