SELinux 初探
SELinux:Security Enhanced Linux。SELinux 是 NSA(美国国家安全局)开发设计,整合到 Linux 内核中的一个模块。
0. 基本概念
DAC(Discretionary Access Control),自主访问控制,传统的文件权限和账号关系;
系统账号主要分为系统管理员(root)与一般用户,这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此,当某个进程想要对文件进行访问时,系统就会根据该进程的所有者、用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”(DAC),基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。
MAC(Mandatory Access Control),强制(委托)访问控制,以策略规则制定特定程序读取特定文件;
MAC 可以针对特定的进程与特定的文件资源来进行权限的控制,即使是 root,在使用不同的进程时,所能取得的权限不一定是 root,而是要看当时该进程的设置而定。如此一来,我们针对控制的“主体”编程了“进程”而不是“用户”。
1. SELinux 的运行模式
SELinux 通过 MAC 的方式来控管进程,其控制的主体(subject)是进程,而目标(object)则是该进程能否读取的“文件资源”,即其重点在于主体如何取得目标的资源访问权限。
2. SELinux 的启动、关闭与查看
并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux,因 SELinux 是一种 linux 内核模块,因此无需自行编译 SELinux 到 Linux 内核中。
# getenforce
Enforcing# SELinux 支持三种模式,分别如下:enforcing:强制模式,代表 SELinux 正在运行中,已经开始限制 domain(主体程序,subject)/type(文件资源 object) 了permissive:容许模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type 的访问,用于 SELinux 的调试;disabled:SELinux 未运行;
# sestatus# 列出目前的 SELinux 的策略(policy)
# vim /etc/selinux/config # selinux 配置文件SELINUX=enforcing,调整 enforcing|permissive|disabledSELINUXTYPE=targeted,目前仅有 targeted 与 strict
SELinux 初探相关推荐
- 鸟哥的Linux私房菜(基础篇)- 第十七章、程序管理与 SELinux 初探
第十七章.程序管理与 SELinux初探 最近升级日期:2009/09/11 一个程序被加载到内存当中运行,那么在内存内的那个数据就被称为程序(process).程序是操作系统上非常重要的概念,所有系 ...
- Note For Linux By Jes(11)-程序管理与SELinux 初探
什么是程序(Process): 子程序与父程序: fork and exec:程序呼叫的流程: 系统或网络服务:常驻在内存的程序 多重登陆环境的七个基本终端窗口:/etc/inittab 工作管理(j ...
- 【Linux命令】《鸟哥Linux基础》第十六章 进程管理与SELinux初探
第十六章 进程管理与SELinux初探 16.1 什么是进程(process) Linux下的所有命令与你能够执行的操作 ===>都与权限有关 如何判断权限? 账号管理中的UID.GID:文件属 ...
- 第17章 程序管理与SELinux初探
什么是进程 触发任何一个事件时,系统都会将它定义为一个进程,并且给予这个进程一个ID,称为PID,同时依据触发这个进程的用户与相关属性关系,给予这个进程一组有效的权限设置. 进程与程序 进程:执行一个 ...
- 别人的Linux私房菜(17)进程管理与SELinux初探
程序在磁盘中,通过用户的执行触发.触发事件时,加载到内存,系统将它定义成进程,给予进程PID,根据触发的用户和属性,给予PID合适的权限. PID和登陆者的UID/GID有关.父进程衍生出来的进程为子 ...
- SELINUX+PASSWD实战
对selinux的学习,系统为centos 文章目录 (一)Selinux初探 1.查看selinux是否已经开启 2.selinux配置文件 (二)查看安全上下文 1.查看文件的安全上下文 2.查看 ...
- 【安全利器SELinux快速入门系列 | 01】SELinux基础入门
这是机器未来的第35篇文章 原文首发地址:https://blog.csdn.net/RobotFutures/article/details/125914553 文章目录 1. 研究目标 2. se ...
- Linux的基本学习(十四)——进程管理(下)与SELinux
Linux的基本学习(十四)--进程管理(下)与SELinux 前言 进程这部分内容真是不少,来,我们继续跟着鸟哥学习. 特殊文件与进程 具有SUID/SGID权限的命令执行状态 SUID的权限其实与 ...
- bash: 无法为立即文档创建临时文件: 权限不够_世界顶级Linux大牛耗时三年总结出3000页Linux文档...
众所皆知的,Linux的核心原型是1991年由托瓦兹(Linus Torvalds)写出来的,但是托瓦兹为何可以写出Linux这个操作系统?为什么它要选择386的计算机来开发?为什么Linux的发展可 ...
最新文章
- 22张深度学习精炼图笔记总结
- Java调用PHP,跑PHP代码
- python 数据分析学什么-如何学习Python数据分析呢?老男孩Python培训
- Vue.js 整理笔记
- OCM备考 一、Server config 之配置shared server
- SSL 证书变革之时已至,这些变化你都清楚吗?
- HTML5 CSS3 Transform 笔记 (scale不起作用)
- jQuery 操作 CSS
- Vue 生命周期学习心得(上)
- w25qxx SPI读取数据出来为全FF
- 关于matlab的erf与erfc
- 医院微信公众号开发文档
- Origin C编程 -- 自定义函数按位解读数据列
- 头条小程序对接微信、支付宝
- 极验验证——滑块拼图验证码
- 2.4G有源智能电子学生卡SI24R1 SI24R2E
- PDF转docx转md
- 项目:金融行业反欺诈模型
- PLC可编程控制器控制热水供暖循环系统实训
- 快狗打车CTO沈剑:低成本搞定分布式调用链追踪系统
热门文章
- 三、RabbitMQ消息发布时的权衡
- 剑灵火龙区服务器位置,剑灵双线火龙新区活动介绍
- Linux下性能压测工具WRK,性能测试神器 wrk 使用教程
- ✨Synchronized底层实现---偏向锁
- Spring集成Quartz定时任务
- scala从url或者其他数据源读取数据
- python实现点击按钮_python实现点击按钮修改数据的方法
- 必须掌握的Java基础知识(二)
- Tensorflow——Tensorboard可视化
- LeetCode 57. 插入区间(合并区间+排序)(区间重叠问题汇总)