1. selinux的開發原因是由於系統使用者或管理員對系統資源(檔案,裝置,埠...)
的誤用(如開放過大許可權),在不正確的位置開放了許可權)導致的系統漏洞,這一
方面是人為原因,另一方面是系統本來的資源-使用者的直接許可權管理方式的缺陷。
selinux使用了mac(委任訪問控制)的方式管理許可權
2. selinux組成由主體,目標和策略及安全上下文組成,前三者代表了程序及其
訪問物件。其在系統檔案或程序上的表現方式則是安全上下文中的身份識別及
角色。由於程序與檔案數量龐大,selinux依據服務來進制訂安全性訪問策略。
策略指代一組規則集,目標是對程序。
3. 開啟了selinux後,使用者對資源的訪問由原來的程序對資源的dac,轉向了3層結構
2.1) selinux策略層
2.2)安全上下文
2.3) dac
3. 身份標識,角色, 型別
3.1) identify: 表示身份
3.1.1) root 表示root
3.1.2) system_u 表示系統使用者
3.1.3) user_u 表示系統使用者
3.2) role:表示資源型別
3.2.1) object_r 檔案資源
3.2.2) system_r 程序資源
3.3) type: 安全型別
3.3.1) type 檔案資源
3.3.2) domain 程序資源
4. selinux中目錄主要實現了兩種策略集(targeted 和 strict),targeted
集主要用用網路程序的策略限制,而對本地程序全開,而strict相對後者就要
嚴格的多
5. targeted 策略集中,最終,主體是否能訪問目標,由主體和目標的安全上下文
是否符合,主要判斷是根據安全上下文的type決定
6. selinux的開啟,關閉,查詢
6.1)配置檔案 /etc/selinux/config其中可以配置selinux啟動模式selinux(enforcing,
permissive, disable),及使用的策略集selinuxtype(targeted ,strict)
6.2) 模式查詢 getenforce
6.3) 檢視策略 sestatus
6.3) 模式切換(僅用於enforce和permissive) setenforce
7. 檢視檔案或程序的安全上下文 ls -z | ps -z
8. 更改上下文 chcon
注: 除過直接的指定上下文外,可以使用--reference來指定同某乙個**資源
上下文相同;
9. 重設上下文 restorecon
10. selinux 監控及錯誤記錄
10.1) setroubleshoot --/var/log/message
10.2) audit 與 audit2why --**c
11. selinux 策略與規則管理
7 SELinux學習筆記 約束
一 約束語句 constrain statement 約束語句可以讓我們在安全上下文的三個元素 使用者 角色 源 目標型別 中作任意限制,其包含三個元素 1.應用約束的客體類別 2.對應受約束客體類別的許可 3.約束的布林表示式 其中約束表示式比較域 主體,源 程序的上下文和客體 目標 的上下文,或...
SElinux 學習筆記 例子實現
測試環境介紹 作業系統 fedora 22 mate fedora 21 環境搭建 root yum install y policycoreutils python policycoreutils devel selinux policy devel setools hddtemp git vim...
SElinux學習總結
selinux security enhanced linux 安全增強式linux,是乙個linux核心的安全模組,其提供了訪問控制安全策略機制。selinux是可保護你系統安全性的額外機制,在某種程度上,它可以被看作是與標準許可權系統並行的許可權系統。在常規模式中,以使用者身份執行程序,並且系統...