`
neatchenheng
  • 浏览: 25332 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

SELinux 权限设置

阅读更多

 

SELinux 权限设置

2010-5-26

   

 

一、SELinux简介

SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,可防御未知攻击,据称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。

应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高要求的信息很高的安全保障。 SELinux vs Linux 普通Linux安全和传统Unix系统一样,基于自主存取控制方法,即DAC,只要符合规定的权限,如规定的所有者和文件属性等,就可存取资源。在传统的安全机制下,一些通过setuid/setgid的程序就产生了严重安全隐患,甚至一些错误的配置就可引发巨大的漏洞,被轻易攻击。

SELinux则基于强制存取控制方法,即MAC,透过强制性的安全策略,应用程序或用户必须同时符合DAC及对应SELinuxMAC才能进行正常操作,否则都将遭到拒绝或失败,而这些问题将不会影响其他正常运作的程序和应用,并保持它们的安全系统结构。

二、SELinux主要配制文件

SELinux主要配制文件位于/etc/selinux/下。在网络中的服务器,建议开启SELinx,以提高系统的安全性。我这里通过命令方式来改变SELinx的安全策略,就不在对SELinux的配制文件做具体说明。

三、SELinux常用的命令

Ø         ls –Z | ps –Z | id –Z

分别用于查看文件(夹)、进程和用户的SELinx属性。最常用的是ls -Z

Ø         sestatus

查看当前SELinux的运行状态

Ø         setenforce

SELinux为启动模式下,用此命令可以暂时停用SELinux

Ø         getsebool

查看当前Policy(策略)的布尔值

Ø         setsebool

设置Policy的布尔值,以启用或停用某项Policy

Ø         chcon

改变文件或文件夹的content标记

四、SELinux实用案例

4.1 SELinuxApache的保护

新安装的wordpress位于/vogins/share/wordpress下,按照系统的默认策略,/vogins,/vogins/shareSELinux属性为file_t,而这是不允许httpd进程直接访问的。为此,需要做如下高调整:

1)        改变/vogins,/vogins/shareSELinux属性

Shell> chcon –t var_t /vogins

Shell> chcon –t var_t /vogins/share

2)        改变wrodpress目录的SELinux属性

Shell> chcon –R –t httpd_sys_content_t wordpress

3)        允许apache进程访问mysql

setsebool -P httpd_can_network_connect=1

4)        关于Apache里虚拟主机的配制就里就不多说,重新启动apache,就可以正常访问wordpress

Shell> /etc/init.d/httpd start

注意:如果出现不能访问的情况,请查看/var/log/messages里的日志。一般来说,按照提示就可以解决了。

 

 

支持请点击这里

 

 

 

分享到:
评论

相关推荐

    selinux问题

    SELinux 权限冲突是指多个进程或资源之间的权限冲突问题,而合理性问题是指 SELinux 权限设置是否合理的问题。我们将讨论如何使用 SELinux 的权限继承关系和 Sepolicy 语言来解决这些问题。 SELinux 权限问题案例...

    selinux权限配置指南.pdf

    本文档《selinux权限配置指南.pdf》将重点讲解SELinux的基本概念、运行模式、语法格式以及权限配置的各个方面,特别是结合Android平台的SELinux(sepolicy)进行讲解,旨在帮助开发者更好地理解和配置SELinux,以...

    APK启动bin相关selinux权限

    本文将深入探讨APK启动bin相关selinux权限的原理、配置以及重要性。 一、SELinux基础 1. SELinux简介:SELinux由美国国家安全局(NSA)开发,主要目的是提供细粒度的访问控制,防止恶意软件或错误配置对系统造成...

    selinux权限修改.pdf

    本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce ...

    selinux权限说明

    本文将深入解析Android 5.1中的SELinux权限管理机制。 一、SELinux概述 SELinux是美国国家安全局(NSA)开发的一种强制访问控制模型,其目标是通过严格的策略来限制进程对资源的访问,以防止权限滥用和恶意攻击。在...

    APK启动bin相关selinux权限基于mtkandroid6.0平台.rar

    APK启动过程中涉及的Selinux权限问题在Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。Selinux(Security Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...

    selinux 权限文档

    SEAndroid是SELinux in Android的缩写。SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA)...

    SELinux 类权限 ObjectClassesPerms

    在SELinux中,对象权限(Object Classes Perms)是定义安全策略的关键元素,用于规范不同类型的对象(如文件、进程、网络套接字等)可以执行的操作。** ### 1. SELinux通用权限集 #### 1.1.1 共享数据库(common ...

    Android Selinux权限讲解.docx

    SeLinux 全称 Security-Enhanced Linux ...在Android Q版本上就开始推行SeLinux机制且强行执行此机制(沙盒机制,只能获取到AOSP指定的对外的接口去获取),所以在之前很多应用在Android Q上会产生很多权限相关的问题。

    SELinux手册 电子书 pdf 英文

    2. 安全上下文:SELinux 使用安全上下文来标识进程和文件的安全级别和权限。 3. 策略语言:SELinux 使用策略语言来描述访问控制规则和策略。 SELinux 的优点包括: 1. 提高系统安全性:SELinux 通过强制访问控制...

    有关SELinux权限配置说明.pdf

    RKXX_Android4.4 SELinux 权限配置说明 Android 4.4 updates its SELinux configuration from "permissive" to "enforcing." This means potential policy violations within a SELinux domain that has an ...

    selinux-example_SELinux_

    SELinux的核心理念是将权限分配给进程而不是用户,从而实现更细粒度的权限控制。 **一、SELinux的工作原理** SELinux基于策略与执行的分离原则。策略部分定义了系统中的安全规则,而执行部分则负责实施这些规则。...

    SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)

    本文将深入探讨这些新特性,以及如何对Android 8.0的SELinux权限进行配置。 **1. SELinux(Security Enhanced Linux)** SELinux是一种强制访问控制(MAC)系统,它为Linux内核添加了一层额外的安全性。在Android...

    selinux中文手册和详细解说

    9. **配置与管理**:指导如何在系统启动时设置SELinux状态,以及如何通过`sestatus`检查当前配置。 10. **案例研究**:可能包含针对特定场景的配置示例,如安全Web服务器或电子邮件服务器的设定。 通过阅读**...

    访问文件的SELinux权限添加

    这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件...

    操作系统安全:selinux自启动.docx

    这样,即使系统管理员错误地设置了文件权限,SELinux也能防止非授权的访问。 SELinux支持三种运行模式: 1. enforcing:强制模式,SELinux严格限制进程的权限,任何违反策略的行为都会被阻止。 2. permissive:宽容...

    SElinux详解.pdf

    - **约束**:SELinux的约束特性允许在主体和客体之间设置更严格的规则。例如,可以通过约束禁止某个进程直接访问特定类型的文件,而必须通过其他指定的途径间接访问。 - **多级安全**:除了TE之外,SELinux还支持...

Global site tag (gtag.js) - Google Analytics