Linux 笔记 SELinux 常见操作与介绍

SELinux(Security-Enhanced Linux)是 Linux 操作系统中的一种安全模块,旨在提供更细粒度的访问控制。它最初由美国国家安全局(NSA)开发,目的是增强 Linux 系统的安全性。SELinux 通过强制访问控制(MAC, Mandatory Access Control)来补充传统的自主访问控制(DAC, Discretionary Access Control),从而限制进程和用户只能访问它们明确被允许访问的资源。

一、SELinux 的状态

SELinux 可以处于以下三种状态之一:

  • Enforcing:启用并强制执行所有安全策略。任何违反策略的操作都将被阻止,并记录到日志中。
  • Permissive:虽然会记录违反策略的行为,但不会阻止这些行为发生。这对于调试和测试非常有用。
  • Disabled:完全禁用 SELinux。不推荐在生产环境中这样做,因为它会失去 SELinux 提供的所有保护。

二、管理 SELinux

管理 SELinux 包括配置策略、设置文件标签、调整域权限等。常用的命令和工具包括:

  • sestatus:查看 SELinux 的当前状态。
  • setenforce:临时切换 SELinux 的模式(从 enforcing 到 permissive 或反之)。
  • getenforce:获取 SELinux 的当前模式。
  • chcon:改变文件或目录的安全上下文(标签)。
  • restorecon:恢复文件或目录的默认安全上下文。
  • audit2allow:帮助分析日志中的拒绝事件,并生成相应的策略规则。
  • semanage:管理 SELinux 策略数据库,如添加或修改类型、端口、用户等。

1、getenforce 获取 SELinux 的当前模式

getenforce

2、setenforce 临时切换 SELinux 的模式

如果你只是想暂时改变 SELinux 的行为而不完全禁用它,可以使用 setenforce 命令:

  • 切换到 Permissive 模式(记录违规但不强制执行):
sudo setenforce 0

  •  切换回 Enforcing 模式(强制执行所有安全策略):
sudo setenforce 1

 setenforce 命令不能直接将 SELinux 设置为 Disabled 状态。setenforce 只能用来临时切换 SELinux 的模式为 EnforcingPermissive。要永久禁用 SELinux,你需要编辑配置文件并重启系统。

3、永久禁用 SELinux

要永久禁用 SELinux,请按照以下步骤操作:

3.1、编辑 SELinux 配置文件

SELinux 的配置文件通常位于 /etc/selinux/config。你需要以管理员权限打开这个文件进行编辑:

sudo vi /etc/selinux/config

找到类似下面的行:

SELINUX=enforcing

将其修改为:

SELINUX=disabled

这会告诉 SELinux 在下次启动时完全禁用自己。

3.2、重启系统

sudo reboot

3.3、验证 SELinux 状态

系统重启后,你可以使用以下命令来验证 SELinux 是否已被禁用:

sestatus
或
getenforce

如果输出显示 SELinux status: disabled,那么你就成功地永久禁用了 SELinux。

三、SELinux 的核心概念 (扩展阅读)

1. 策略(Policy)

SELinux 使用策略来定义系统中对象(如文件、网络端口等)和主体(如进程、用户)之间的访问规则。策略非常严格,并且可以根据不同的需求定制。有几种预定义的策略类型:

  • Targeted:这是大多数发行版默认使用的策略,只对特定的服务进行限制,而其他部分则使用宽松的策略。
  • Strict:提供了最严格的控制,适用于高度敏感的环境。
  • MLS(Multi-Level Security):用于实现多级安全,比如政府或军事应用中的机密等级。

2. 标签(Labeling)

在 SELinux 中,每个文件、目录、进程等都被赋予了一个安全上下文(security context),也称为标签。这些标签包含了类型(type)、角色(role)和用户标识(user ID)。例如,一个典型的文件标签可能看起来像这样:

system_u:object_r:httpd_sys_content_t:s0

这表示该文件属于 system_u 用户,具有 object_r 角色,并且它的类型是 httpd_sys_content_t

3. 域(Domain)

域是用来描述进程运行时的安全上下文。每个进程都运行在一个特定的域中,而这个域决定了该进程可以做什么以及它可以访问哪些资源。例如,Apache HTTP Server 进程通常会在 httpd_t 域中运行。

4. 类型执行(Type Enforcement)

这是 SELinux 的核心机制之一。它基于类型来决定是否允许某个主体访问某个对象。如果策略不允许某个类型的进程访问某个类型的文件,即使该进程拥有适当的 DAC 权限,也会被拒绝。

四、SELinux 的优点

  • 更高的安全性:通过强制访问控制,有效地减少了恶意软件和错误配置带来的风险。
  • 隔离关键组件:能够更好地隔离应用程序和服务,降低单一漏洞影响整个系统的可能性。
  • 支持复杂的策略:适合需要高级别安全保障的组织和机构。

然而,SELinux 也有一定的学习曲线,特别是在配置和故障排除方面。对于某些应用场景来说,其复杂性可能是不必要的负担(例如,在构建k8s集群时,就会选择关闭SELinux)。因此,在决定是否启用 SELinux 时,应该根据具体的需求和环境进行权衡。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/947173.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Elasticsearch VS Easysearch 性能测试

压测环境 虚拟机配置 使用阿里云上规格:ecs.u1-c1m4.4xlarge,PL2: 单盘 IOPS 性能上限 10 万 (适用的云盘容量范围:461GiB - 64TiB) vCPU内存 (GiB)磁盘(GB)带宽(Gbit/s)数量1664500500024 Easysearch 配置 7 节点…

javacript中function (res) {}与箭头函数表达式(res) =>{}的区别

javacript中function (res) {}与(res) >{}的区别 function (res) {} 代码演示 let shape {name:长方形,say:function(){console.log(我是this.name)setTimeout(function(){console.log(3秒后输出我是: this.name); //this.name为undefined}, 3000)} }shape.sa…

[IT项目管理]十.项目人力资源管理

十.项目人力资源管理 *10.0基础知识 1)动力与激励 10.1人力资源管理的重要性 很多项目经理都说过,“人是我们最重要的资产。”,人的因素决定着一个 组织或者项目的成败。 10.2人力资源管理对未来的其启示 对于组织来说&#…

数据结构理论篇(期末突击)

找往期文章包括但不限于本期文章中不懂的知识点: 个人主页:我要学编程(ಥ_ಥ)-CSDN博客 所属专栏: 学校课程突击 下面均是为了应付学校考试所用,如果有涉及部分知识点下面未说明,可以去我的数据结构专栏看看或者自行在…

Kafka的rebalance机制

1、什么是 rebalance 机制 重平衡(rebalance)机制规定了如何让消费者组下的所有消费者来分配 topic 中的每一个分区。 2、rebalance 机制的触发条件是什么 (1)消费者组内成员变更 成员增加:当有新的消费者加入到消费…

人工智能之基于阿里云图像人脸融合部署

人工智能之基于阿里云图像人脸融合部署 需求描述 基于阿里云搭建图像人脸融合模型,模型名称:iic/cv_unet-image-face-fusion_damo使用上述模型输出人脸融合照片 模型路径:人脸融合 业务实现 阿里云配置 阿里云配置如下: SD…

如何利用无线路由器实现水泵房远程监测管理

水泵站广泛部署应用在工农业用水、防洪、排涝和抗旱减灾等方面,如果水泵站发生异常,往往会对生产生活造成诸多损失,甚至引发安全事故。因此,建立一套高效、可靠的泵站远程监测管理系统至关重要。 方案背景 目前,我国大…

Unity Canvas中显示粒子特效

首先在场景中新建一个粒子特效 修改一下参数 1.改变粒子特效的渲染层级,层级修改为UI层,由UI相机渲染 使用粒子特效的Sorting Layer ID和Order In Layer,Sorting Layer ID设置为UI(如果没有UI层则新建就好了),对UI进行排序 对于要显示在前的UI组件添加Canvas组件,设置O…

Spring Cloud Security集成JWT 快速入门Demo

一、介绍 JWT (JSON Web Token) 是一种带有绑实和信息的简单标准化机制,在信息通信中用于验证和信息传递。尤其在应用中使用Spring Cloud实现分布式构建时,JWT可以作为一种无状态验证原理的证明。 本文将进一步描述如何在Spring Cloud Security中集成JW…

逻辑数据模型设计过程包含哪些任务?

逻辑数据模型设计是数据库开发周期中的一个关键环节,它位于需求分析之后、物理数据模型设计之前。这一步骤的主要目标是构建一个准确反映业务需求、结构清晰且易于理解的数据模型。本文将深入探讨逻辑数据模型设计过程所包含的各项任务,结合理论与实践&a…

CAT3D: Create Anything in 3D with Multi-View Diffusion Models 论文解读

24年5月的论文,上一版就是ReconFusion 目录 一、概述 二、相关工作 1、2D先验 2、相机条件下的2D先验 3、多视角先验 4、视频先验 5、前馈方法 三、Method 1、多视角扩散模型 2、新视角生成 3、3D重建 一、概述 该论文提出一种CAT3D方法,实现…

GitHub 及 GitHub Desktop 详细使用教程(通俗易懂)

目录 Δ前言 一、Github教程 1.什么是Github? 2.仓库和对仓库的操作: 2.1 Repository(仓库) 2.2 Fork(派生) 2.3 Star(收藏) 2.4 Watch(追番) 2.5 Issue&am…

Shell-概述、脚本、变量、数值运算

概述 一、什么是shell 在 Linux 内核与用户之间的解释器程序 通常指 /bin/bash负责向内核翻译及传达用户/程序指令相当于操作系统的“外壳” 二、shell的使用方式 交互式 —— 命令行 ---人工干预、智能化程度高 ---逐条解释执行、效率低 非交互式 —— 脚本 ---需要提前…

刷机TP TP-Link-WDR5660【持续更新】

上文中简单介绍了:路由器刷机TP-Link tp-link-WDR5660 路由器升级宽带速度-CSDN博客 步骤如下: 第一步:安装Linux系统 本文使用virtualBox 安装Ubuntu的debian系统,本文不在讲述章 请自行参考:Kali 安装之腾讯云经…

信息科技伦理与道德1:研究方法

1 问题描述 1.1 讨论? 请挑一项信息技术,谈一谈为什么认为他是道德的/不道德的,或者根据使用场景才能判断是否道德。判断的依据是什么(自身的道德准则)?为什么你觉得你的道德准则是合理的,其他…

如何不修改模型参数来强化大语言模型 (LLM) 能力?

前言 如果你对这篇文章感兴趣,可以点击「【访客必读 - 指引页】一文囊括主页内所有高质量博客」,查看完整博客分类与对应链接。 大语言模型 (Large Language Model, LLM, e.g. ChatGPT) 的参数量少则几十亿,多则上千亿,对其的训…

css实现垂直文本

效果 知识 writing-mode: <value>; 可选值 horizontal-tb: 默认值。文本从左到右&#xff08;或从右到左&#xff09;排列&#xff0c;然后从上到下。vertical-rl: 文本从上到下排列&#xff0c;然后从右到左。适用于垂直书写的方向&#xff0c;如日语和中文。vertica…

【C++/控制台】扫雷

源代码&#xff1a; #include <windows.h> #include <conio.h> #include <stdio.h> int S, W 9, H 9, B 10, s, p 0, c 1, i, *m, *M, (*f)(int, int), *O; int edge(int x, int y) { return x < 0 || W < x || y < 0 || H < y; } void tm…

spring-boot启动源码分析(二)之SpringApplicationRunListener

在上一篇《spring-boot启动源码分析&#xff08;一&#xff09;之SpringApplication实例构造》后&#xff0c;继续看了一个月的Spring boot启动源码&#xff0c;初步把流程看完了&#xff0c;接下来会不断输出总结&#xff0c;以巩固这段时间的学习。同时也希望能帮到同样感兴趣…

计算机网络 (20)高速以太网

一、发展背景 随着计算机技术和网络应用的不断发展&#xff0c;传统的以太网速率已逐渐无法满足日益增长的带宽需求。因此&#xff0c;高速以太网应运而生&#xff0c;它以提高数据传输速率为主要目标&#xff0c;不断推动着以太网技术的发展。 二、技术特点 高速传输&#xff…