`

Linux --SELinux简介

阅读更多

 

起因:安装软件时,出现以下信息。

SELinux is enabled, please disable SELinux or set enforce policy to permissive in /etc/selinux/config, then restart installation program.

 不懂,查了资料。

Security-Enhanced Linux 是一个在2.6核心中整合的一个新的安全构架

Linux security modules(LSM),是美国国家安全局(NAS)和SElinux社区的一个联合项目,经过NAS 和红帽子公司的努力 ,seliunx被整合进入了红帽子linux企业版

Selinux简介

SElinux 在linux内核级别上提供了一个灵活的强制访问控制系统(MAC),这个强制访问控制系统是建立在自由访问控制系统(DAC)之上的。
DAC是指系统的安全访问控制都是由系统管理员root自由管理的,不是系统强制行为
MAC运行的时候,比如一个应用程序或者一个线程以某个用户UID或者SUID运行的时候同样对一些其他的对象拥有访问控制限制,比如文件,套接子 (sockets)或者其他的线程

通过运行SElinux MAC内核可以保护系统不受到恶意程序的侵犯,或者系统本身的bug不会给系统带来致命影响(把影响限定在一定范围内)

SElinux为每一个用户,程序,进程,还有文件定义了访问还有传输的权限。然后管理所有这些对象之间的交互关系

对于SELinux设定的对象全限是可以根据需要在安装时候规定严格程度,或者完全禁用
在大多数情况下,SElinux对于用户来说是完全透明的,普通用户根本感觉不到Selinux的存在,只有系统管理员才需要对这些用户环境,以及策略进 行考虑。这些策略可以按照需要宽松的部署或者应用严格的限制,Selinux提供了非常具体的控制策略,范围覆盖整个linux系统

比如,当一个对象如应用程序要访问一个文件对象,内核中的控制程序检查访问向量缓存(AVC),从这里寻找目标和对象的权限,如果在这里没有发现权限定 义,则继续查询安全定义的上下关联,以及文件权限,然后作出准许访问以及拒绝访问的决定。如果在var/log/messages出现avc: denied信息,则表明访问拒绝。
目标和对象通过安装的策略来决定自身的安全关联,同时这些安装的策略也负责给系统产生安全列表提供信息。
除了运行强制模式以外,SELinux可以运行在许可模式,这时候,检查AVC之后,拒绝的情况被记录。Selinux不强制使用这种策略.

以下介绍一下SELinux相关的工具

/usr/bin/setenforce 修改SELinux的实时运行模式
setenforce 1 设置SELinux 成为enforcing模式
setenforce 0 设置SELinux 成为permissive模式
如果要彻底禁用SELinux 需要在/etc/sysconfig/selinux中设置参数selinux=0 ,或者在/etc/grub.conf中添加这个参数
/usr/bin/setstatus -v
察看系统的状态
以下是运行输出,请参考
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Policy version: 18

 

编辑/etc/selinux/config

编辑/etc/sysconfig/selinux

则2个文件都要编辑成

SELINUX=disabled

 然后必须reboot,我没有重启安装时虽然不报selinux警告,但是报如下错误

cannot restore segment prot after reloc:...
 
分享到:
评论

相关推荐

    util-linux-ng-2.17源码(含fdisk)

    util-linux-ng-2.17.2/login-utils/selinux_utils.c [code] util-linux-ng-2.17.2/login-utils/selinux_utils.h [code] util-linux-ng-2.17.2/login-utils/setpwnam.c [code] util-linux-ng-2.17.2/login-utils/...

    container-selinux-2.74-1.el7.noarch.rar

    1. 首先,解压下载的`container-selinux-2.74-1.el7.noarch.rar`压缩包,获取到`container-selinux-2.74-1.el7.noarch.rpm`文件。 2. 接着,在终端中使用`rpm`命令进行离线安装,命令如下: ```bash rpm -ivh ...

    container-selinux-2.9-4.el7.noarch.rpm.zip

    `container-selinux-2.9-4.el7.noarch.rpm.zip`这个压缩包文件是与Docker相关的,它包含了一个名为`container-selinux-2.9-4.el7.noarch.rpm`的软件包,这是Docker在Red Hat Enterprise Linux 7 (RHEL 7)或其兼容...

    cri-containerd-1.7.7-linux-amd64.tar.gz

    4. **安全策略**:cri-containerd支持SELinux和AppArmor等安全模块,确保容器运行的安全性。 5. **资源调度**:cri-containerd与CRI-O类似,能够配合Kubernetes的scheduler进行资源调度,确保容器在集群中的高效...

    linux-selinux功能及源码分析

    本书《linux-selinux功能及源码分析》深入探讨了SELinux的核心概念和技术细节,对于想要深入了解SELinux工作原理的专业人士来说是一本不可多得的资源。 #### 操作系统中访问控制模型的演化 - **1.1 访问控制模型的...

    container-selinux-2.74-1.el7.noarch.rpm

    解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm

    selinux-example_SELinux_

    **SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即...通过阅读"selinux-example.pdf"这份文档,你将进一步深入了解SELinux的实际应用和配置方法。

    docker-ce-selinux-17.03.0.ce-1.el7.centos.noarch.rpm

    docker-ce-selinux-17.03.0.ce-1.el7.centos.noarch.rpm

    selinux-policy-targeted-3.13.1-229.el7.noarch.rpm

    离线安装包,亲测可用

    Linux 安装docker 包

    docker-ce-17.03.0.ce-1.el7.centos.x86_64.rpm docker-ce-selinux-17.03.0.ce-1.el7.centos.noarch.rpm docker-compose-Linux-x86_64 docker-compose.yml

    selinux-utils_3.0-1build2_amd64.deb

    ubuntu20.04.1_x86系统安装selinux所需软件包

    mariadb-10.2.31-linux-x86_64.tar.gz

    2. **配置前准备**:确保系统满足最低硬件需求,关闭SELinux(如果启用)和firewalld防火墙。 3. **创建数据目录**:`mkdir -p /var/lib/mariadb`,并赋予适当权限。 4. **配置**:编辑`my.cnf`文件,设置必要的...

    SELinux4AndroidO

    m4.pdf/configuring-selinux-policy-report.pdf/implementing-selinux-as-linux-security-module-report.pdf/The_SELinux_Notebook-4th_Edition.pdf/SEAndroid-NDSS2013.pdf/abs2014_seforandroid_smalley.pdf/...

    container-selinux-2.9-4.el7.noarch.zip

    标题中的"container-selinux-2.9-4.el7.noarch.zip"表明这是一个与Linux安全模块SELinux(Security-Enhanced Linux)相关的软件包,适用于版本为2.9的container-selinux,并且它是针对EL7(Enterprise Linux 7,通常...

    SELinux-by-Example-Using-Security-Enhanced-Linux

    SELinux by example is the ... It also contains a comprehensive SELinux policy language reference and covers exciting new features in Fedora Core 5 and the upcoming Red Hat Enterprise Linux version 5.

    mariadb-10.5.11-linux-aarch64 适配ARM

    - 安全启动:启用SELinux和防火墙规则以保护数据库服务。 5. **性能调优**: - 对于ARM64平台,优化数据库性能可能涉及调整缓存大小、线程池设置和内存分配。 - 使用性能监视工具,如`mysqldumpslow`和`pt-query...

    linux-0.11-030920

    6. **安全机制**:包括权限管理、访问控制列表(ACLs)、用户和组管理,以及安全模块如 SELinux 和 AppArmor,以增强系统的安全性。 7. **系统调用**:为应用程序提供接口,如打开、关闭、读取、写入文件,创建和...

    Linux-Security-Module.rar_LSM_SELinux_linux lsm

    LSM允许开发者插入各种安全策略,如SELinux(Security-Enhanced Linux),来实现细粒度的访问控制。本文将深入探讨LSM框架以及SELinux的实现。 一、Linux Security Module (LSM) LSM是Linux内核的一个抽象层,它...

    selinux-notebook:SELinux笔记本

    SELinux网络,虚拟机,X-Windows,PostgreSQL和Apache / SELinux-Plus支持SELinux的功能。 SELinux内核的核心策略语言,以及如何为教学目的构建基本策略模块。 新的通用中间语言(CIL)实现的简介。 SELinux核心...

Global site tag (gtag.js) - Google Analytics