• 热门搜索:
  • 装机系统
  • 雨林木风系统
  • 深度系统
  • 电脑公司系统
  • win7装机版
  • 教程分类
    当前位置:主页 > 教程咨询 > Linux教程

    SELinux管理原则

    来源:装机员┆发布时间:2018-09-09 11:07┆点击:

    装机员为您提供SELinux管理原则的文章咨询供您阅读,如何使用SELinux管理原则的方法对您有帮助也请您举手之劳分享给您身边的人。

    Linux/1533.html">Linux/23803.html">SELinux使用所谓的委任式访问控制(Mandatory Access Control,MAC),可以根据特定的程序和特定的文件资源进行权限的管理。即使是root用户,在使用不同的程序时,你所能获得的权限不一定是root,需要根据程序的设定。

    一、SELinux的工作模式

    1、主体(Subject)
            SELinux主要管理的就是程序。可以相比于process。
    2、目标(Object)
            主体程序访问的目标资源一般就是文件系统。
    3、策略(Policy)
            访问安全性策略,规则等。CentOS6.x提供targeted和mls两个主要的策略。
        targeted:针对网络服务限制较多,针对本机限制较少,是默认的策略。
        mls:完整的SELinux限制,限制方面较为严格。
    4、安全性环境(Security Context)
            类似于文件系统的rwx。

    SELinux管理原则

    查看/root下面文件的安全性环境

    [root@www ~]# ls -Z
    -rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
    -rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log
    -rw-r--r--. root root system_u:object_r:admin_home_t:s0 install.log.syslog

    Identify:role:type
    身份识别:角色:类型

    身份识别(Identify):相当于账号方面的身份识别。主要的身份识别有:
    1、root:表示root的账号身份
    2、system_u:表示系统程序方面的识别,通常就是程序
    3、user_u:代表的是一般用户账号相关的身份

    角色(Rule):通过角色字段,装机系统,我们可以知道这个数据是代表程序、文件资源还是用户。
    1、object_r:代表的是文件或路径等资源,这是最常见的。
    2、system_r:代表的就是程序了。不过一般用户也会被指定成为system_r

    类型(Type):一个主体程序能否读取到这个文件资源,与类型字段有关
    1、Type:在文件资源中被称为类型
    2、Domain:在主体程序中被称为域

    二、SELinux的启动、关闭与查看

    三种模式:
    # SELINUX= can take one of these three values:
    #    enforcing - SELinux security policy is enforced.
    #    permissive - SELinux prints warnings instead of enforcing.
    #    disabled - No SELinux policy is loaded.

    查看:getenforce
    临时设置:setenforce 【0 | 1】
    永久修改:vim /etc/selinux/config,再重新启动

    注意:setenforce无法在disabled的模式下进行切换

    三、SELinux的Type字段修改
    复制文件的Type字段会继承自目标路径,而移动文件保持不变。
    1、chcon

    chcon [-R] [-t type] [-u user] [-r role] 文件
    chcon [-R] --reference=范例文件 文件
    -R:连同该路径下的子路径也进行修改
    -t:后面接安全性环境的类型字段
    -u:后面接身份识别
    -r:后面接角色
    --reference:参考范例文件

    2、restorecon

    restorecon [-Rv] 文件或路径
    -R:连同子路径修改
    -v:过程显示到屏幕

    3、semanage

    semanage {login|user|port|interface|fcontext|translation} -l
    semanage fcontext -{a|d|m} [-frst] file_spec

    fcontext:主要用作安全性环境方面,-l为查询
    -a:增加
    -m:修改
    -d:删除

    四、SELinux策略内的规则布尔值修订
    1、策略查阅

    seinfo [-Atrub]
    -A:列出SELinux的状态
    -t:所有类别
    -r:所有角色种类
    -u:所有身份识别种类
    -b:所有规则的种类(布尔值)

    详细的规则:
    sesearch [--all] [-s 主体类别] [-t 目标类别] [-b 布尔值]

    2、布尔值的查询与修改


    查阅:
    getsebool [-a] [布尔值条款]
    修改:
    getsebool [-P] 布尔值=[0|1]

    五、SELinux日志文件记录所需的服务
    使用setsebool、chcon、restorecon等都是为了当某些网络服务无法正常提供相关功能时才需要进行修改的一些命令动作。CentOS提供了几个检测的服务来检测处理在登录SELinux时产生的错误,那就是auditd、setroubleshoot。
    1、setroubleshoot:将错误信息写入/var/log/message与/var/log/setroubleshoot/*

    安装并启动该服务

    [root@www ~ ]yum install setroubleshoot setroubleshoot-server
    [root@www ~ ]service auditd restart

    运作方式:

    1、先由auditd去呼叫audispd服务
    2、然后audispd服务去启动sedispatch程序
    3、sedispatch再将原本的auditd信息转成setroubleshoot的信息,进一步储存下来。

    以httpd程序产生的错误为例

    2、使用E-mail或在命令列上面直接提供setroubleshoot错误信息
    3、SELinux错误克服的总结
    网络连接要通过SELinux的权限判定后才能够继续rwx的权限对比,而SELinux的对比需要通过策略的各项规则对比后才能够进行SELinux Type安全性环境的对比。而后续的SELinux的修改通过chcon、restorecon、setsebool等命令来处理。通过分析/var/log/messsage内提供的setroubleshoot的信息。


    以上就是装机员给大家介绍的如何使用SELinux管理原则的方法了,如何使用SELinux管理原则的方法到这里也全部结束了相信大家对如何使用SELinux管理原则的方法都有一定的了解了吧,好了,如果大家还想了解更多的资讯,那就赶紧点击装机员系统官网吧。

    本文来自装机员www.zhuangjiyuan.com如需转载请注明!

    Tag标签| RSS订阅 | 网站地图
    装机员系统之家提供win7装机版xp系统下载win7系统下载、最新Windows10系统下载,专为装机修机员奉上最好的软件、系统、U盘pe、程等平台
    请勿发布违反国家法律法规的内容,会员观点不代表本站立场.本站发布的系统与软件仅为个人学习测试使用,请在下载后24小时内删除,不得用于任何商业用途,
    否则后果自负,请支持购买微软正版软件! 如侵犯到您的权益,请及时通知我们,我们会及时处理。 粤ICP备15116662号