linux里selinux的作用是什么

今天小編給大家分享一下linux里selinux的作用是什么的相關(guān)知識(shí)點(diǎn),內(nèi)容詳細(xì),邏輯清晰,相信大部分人都還太了解這方面的知識(shí),所以分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后有所收獲,下面我們一起來(lái)了解一下吧。

10年積累的成都做網(wǎng)站、網(wǎng)站建設(shè)經(jīng)驗(yàn),可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你,你也不認(rèn)識(shí)我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程,更有北戴河免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

SELinux的作用:1、通過(guò)對(duì)進(jìn)程和文件資源采用MAC控制方式,為L(zhǎng)inux系統(tǒng)提供了改進(jìn)的安全性;2、賦予了主體最小的訪問(wèn)特權(quán),最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問(wèn)的資源,可以防止主體對(duì)其他用戶或進(jìn)程產(chǎn)生不利的影響;3、每個(gè)進(jìn)程都有自己的運(yùn)行區(qū)域,各進(jìn)程僅運(yùn)行在自己的域內(nèi),無(wú)法訪問(wèn)其他進(jìn)程和文件;4、SELinux能最大程序上限制Linux系統(tǒng)中的惡意代碼活動(dòng)。

linux里selinux的作用是什么

本教程操作環(huán)境:linux7.3系統(tǒng)、Dell G3電腦。

SELinux,Security Enhanced Linux 的縮寫(xiě),也就是安全強(qiáng)化的 Linux,是由美國(guó)國(guó)家安全局(NSA)聯(lián)合其他安全機(jī)構(gòu)(比如 SCC 公司)共同開(kāi)發(fā)的,旨在增強(qiáng)傳統(tǒng) Linux 操作系統(tǒng)的安全性,解決傳統(tǒng) Linux 系統(tǒng)中自主訪問(wèn)控制(DAC)系統(tǒng)中的各種權(quán)限問(wèn)題(如 root 權(quán)限過(guò)高等)。

對(duì)于 SELinux,初學(xué)者可以這么理解,它是部署在 Linux 上用于增強(qiáng)系統(tǒng)安全的功能模塊。

傳統(tǒng)的 Linux 系統(tǒng)安全,采用的是 DAC(自主訪問(wèn)控制方式),而 SELinux 是部署在 Linux 系統(tǒng)中的安全增強(qiáng)功能模塊,它通過(guò)對(duì)進(jìn)程和文件資源采用 MAC(強(qiáng)制訪問(wèn)控制方式)為 Linux 系統(tǒng)提供了改進(jìn)的安全性。

SELinux的主要作用

  • 通過(guò)對(duì)進(jìn)程和文件資源采用 MAC(強(qiáng)制訪問(wèn)控制方式)控制方式,為 Linux 系統(tǒng)提供了改進(jìn)的安全性。

  • 最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問(wèn)的資源(最小權(quán)限原則)。

    它賦予了主體(用戶或進(jìn)程)最小的訪問(wèn)特權(quán),這也就意味著,每個(gè)主體僅被賦予了完成相關(guān)任務(wù)所必須的一組有限的權(quán)限。通過(guò)賦予最小訪問(wèn)特權(quán),可以防止主體對(duì)其他用戶或進(jìn)程產(chǎn)生不利的影響。

  • SELinux 管理過(guò)程中,每個(gè)進(jìn)程都有自己的運(yùn)行區(qū)域(稱為域),各進(jìn)程僅運(yùn)行在自己的域內(nèi),無(wú)法訪問(wèn)其他進(jìn)程和文件,除非被授予了特殊權(quán)限。

  • SELinux 能最大程序上限制 Linux 系統(tǒng)中的惡意代碼活動(dòng)。

擴(kuò)展知識(shí):

SELinux 基本概念:

1、主體(Subject):就是想要訪問(wèn)文件或目錄資源的進(jìn)程。想要得到資源,基本流程是這樣的:由用戶調(diào)用命令,由命令產(chǎn)生進(jìn)程,由進(jìn)程去訪問(wèn)文件或目錄資源。在自主訪問(wèn)控制系統(tǒng)中(Linux 默認(rèn)權(quán)限中),靠權(quán)限控制的主體是用戶;而在強(qiáng)制訪問(wèn)控制系統(tǒng)中(SELinux 中),靠策略規(guī)則控制的主體則是進(jìn)程。

2、目標(biāo)(Object):這個(gè)概念比較明確,就是需要訪問(wèn)的文件或目錄資源。

3、策略(Policy):Linux 系統(tǒng)中進(jìn)程與文件的數(shù)量龐大,那么限制進(jìn)程是否可以訪問(wèn)文件的 SELinux 規(guī)則數(shù)量就更加煩瑣,如果每個(gè)規(guī)則都需要管理員手工設(shè)定,那么 SELinux 的可用性就會(huì)極低。還好我們不用手工定義規(guī)則,SELinux 默認(rèn)定義了兩個(gè)策略,規(guī)則都已經(jīng)在這兩個(gè)策略中寫(xiě)好了,默認(rèn)只要調(diào)用策略就可以正常使用了。這兩個(gè)默認(rèn)策略如下:

  • -targeted:這是 SELinux 的默認(rèn)策略,這個(gè)策略主要是限制網(wǎng)絡(luò)服務(wù)的,對(duì)本機(jī)系統(tǒng)的限制極少。我們使用這個(gè)策略已經(jīng)足夠了。

  • -mls:多級(jí)安全保護(hù)策略,這個(gè)策略限制得更為嚴(yán)格。

4、安全上下文(Security Context):每個(gè)進(jìn)程、文件和目錄都有自己的安全上下文,進(jìn)程具體是否能夠訪問(wèn)文件或目錄,就要看這個(gè)安全上下文是否匹配。如果進(jìn)程的安全上下文和文件或目錄的安全上下文能夠匹配,則該進(jìn)程可以訪問(wèn)這個(gè)文件或目錄。當(dāng)然,判斷進(jìn)程的安全上下文和文件或目錄的安全上下文是否匹配,則需要依靠策略中的規(guī)則。舉個(gè)例子,我們需要找對(duì)象,男人可以看作主體,女人就是目標(biāo)了。而男人是否可以追到女人(主體是否可以訪問(wèn)目標(biāo)),主要看兩個(gè)人的性格是否合適(主體和目標(biāo)的安全上下文是否匹配)。不過(guò),兩個(gè)人的性格是否合適,是需要靠生活習(xí)慣、為人處世、家庭環(huán)境等具體的條件來(lái)進(jìn)行判斷的(安全上下文是否匹配是需要通過(guò)策略中的規(guī)則來(lái)確定的)。

linux里selinux的作用是什么

SELinux 的工作模式

SELinux 提供了 3 種工作模式:Disabled、Permissive 和 Enforcing,而每種模式都為 Linux 系統(tǒng)安全提供了不同的好處。

1、Disable工作模式(關(guān)閉模式)

在 Disable 模式中,SELinux 被關(guān)閉,默認(rèn)的 DAC 訪問(wèn)控制方式被使用。對(duì)于那些不需要增強(qiáng)安全性的環(huán)境來(lái)說(shuō),該模式是非常有用的。

例如,若從你的角度看正在運(yùn)行的應(yīng)用程序工作正常,但是卻產(chǎn)生了大量的 SELinux AVC 拒絕消息,最終可能會(huì)填滿日志文件,從而導(dǎo)致系統(tǒng)無(wú)法使用。在這種情況下,最直接的解決方法就是禁用 SELinux,當(dāng)然,你也可以在應(yīng)用程序所訪問(wèn)的文件上設(shè)置正確的安全上下文。

需要注意的是,在禁用 SELinux 之前,需要考慮一下是否可能會(huì)在系統(tǒng)上再次使用 SELinux,如果決定以后將其設(shè)置為 Enforcing 或 Permissive,那么當(dāng)下次重啟系統(tǒng)時(shí),系統(tǒng)將會(huì)通過(guò)一個(gè)自動(dòng) SELinux 文件重新進(jìn)程標(biāo)記。

關(guān)閉 SELinux 的方式也很簡(jiǎn)單,只需編輯配置文件 /etc/selinux/config,并將文本中 SELINUX= 更改為 SELINUX=disabled 即可,重啟系統(tǒng)后,SELinux 就被禁用了。

2、Permissive工作模式(寬容模式)

在 Permissive 模式中,SELinux 被啟用,但安全策略規(guī)則并沒(méi)有被強(qiáng)制執(zhí)行。當(dāng)安全策略規(guī)則應(yīng)該拒絕訪問(wèn)時(shí),訪問(wèn)仍然被允許。然而,此時(shí)會(huì)向日志文件發(fā)送一條消息,表示該訪問(wèn)應(yīng)該被拒絕。

SELinux Permissive 模式主要用于以下幾種情況:

審核當(dāng)前的 SELinux 策略規(guī)則;

測(cè)試新應(yīng)用程序,看看將 SELinux 策略規(guī)則應(yīng)用到這些程序時(shí)會(huì)有什么效果;

解決某一特定服務(wù)或應(yīng)用程序在 SELinux 下不再正常工作的故障。

某些情況下,可使用 audit2allow 命令來(lái)讀取 SELinux 審核日志并生成新的 SELinux 規(guī)則,從而有選擇性地允許被拒絕的行為,而這也是一種在不禁用 SELinux 的情況下,讓?xiě)?yīng)用程序在 Linux 系統(tǒng)上工作的快速方法。

3、Enforcing工作模式(強(qiáng)制模式)

從此模式的名稱就可以看出,在 Enforcing 模式中, SELinux 被啟動(dòng),并強(qiáng)制執(zhí)行所有的安全策略規(guī)則。

以上就是“l(fā)inux里selinux的作用是什么”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會(huì)為大家更新不同的知識(shí),如果還想學(xué)習(xí)更多的知識(shí),請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁(yè)題目:linux里selinux的作用是什么
網(wǎng)址分享:http://bm7419.com/article32/psdcsc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站網(wǎng)站改版、標(biāo)簽優(yōu)化、域名注冊(cè)、網(wǎng)站收錄、響應(yīng)式網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站建設(shè)