什么是 SELinux(安全增强型 Linux)?

什么是 SELinux?

安全增强型 Linux(SELinux)是一种采用安全架构的 Linux® 系统,它能够让管理员更好地管控哪些人可以访问系统。它最初是作为 Linux 内核的一系列补丁,由美国国家安全局(NSA)利用 Linux 安全模块(LSM)开发而成。

SELinux 于 2000 年发布到开源社区,并于 2003 年集成到上游 Linux 内核中。

SELinux 的工作原理

SELinux 用于定义对系统上应用、进程和文件的访问控制。利用安全策略(一组规则,用于告知 SELinux 可以或不能访问哪些内容)来强制执行策略所允许的访问。

当应用或进程(称为主体)发出访问对象(如文件)的请求时,SELinux 会检查访问向量缓存(AVC),其中缓存有主体和对象的访问权限。

如果 SELinux 无法根据缓存的权限决定是授予还是拒绝授予权限,它会将请求发送到安全服务器。安全服务器随即检查应用或进程和文件的安全环境,确认其是否匹配 SELinux 策略数据库的安全环境。然后,便根据检查授予或拒绝授予权限。

如果拒绝授予权限,/var/log.messages 中将会显示"avc: denied"消息。

如何配置 SELinux

您可以通过多种方式来配置 SELinux,以保护系统。最常见的是目标策略或多级安全防护(MLS)。

目标策略为默认选项,它涵盖了多种进程、任务和服务。MLS 则极为复杂,通常只有政府机构才会使用。

您可以查看 /etc/sysconfig/selinux 文件,以判断系统所采用的配置方式。该文件中有一部分会显示 SELinux 是处于允许模式、强制执行模式还是禁用状态,以及要加载哪个策略。

SELinux 标签和类型强制访问控制

类型强制访问控制和标签是 SELinux 中最为重要的两个概念。

SELinux 可作为标签系统运行,也就是说,系统中的所有文件、进程和端口都具有与之关联的 SELinux 标签。标签可以按照逻辑将目标组合分组。在启动过程中,内核负责管理标签。

标签的格式为 user:role:type:level(level 为可选项)。User、role 和 level 用于更高级的 SELinux 实施中,例如 MLS。标签类型对于目标策略而言最为重要。

SELinux 利用类型强制访问控制来强制执行系统中定义的策略。类型强制访问控制是 SELinux 策略的一部分,它定义了特定类型的进程能否访问标记为特定类型的文件。

启用 SELinux

如果您的环境中禁用了 SELinux,可以通过编辑 /etc/selinux/config 并设置 SELINUX=permissive 来启用 SElinux。由于 SELinux 当前尚未启用,因此最好不要将其设为立即强制执行,因为此时系统可能会出现误标记的事件,这会导致系统无法正常启动。

您可以在根目录中创建名为 .autorelabel 的空文件,然后重新启动,以此来强制系统自动重新标记文件系统。如果系统中错误过多,应在允许模式下重新启动,以确保启动成功。重新标记所有内容后,利用 /etc/selinux/config 将 SELinux 设置为强制执行模式并重新启动,或运行 setenforce 1。

如果系统管理员不太熟悉命令行,还可以选择用于管理 SELinux 的图形工具。

SELinux 为 Linux 发行版中内置的系统提供了一道额外的防护层。将 SELinux 保持开始状态,就能在系统遭到破坏时保护系统。

相关推荐
hero_th14 分钟前
[Ubuntu] 文件/目录权限更改
linux·ubuntu
wclass-zhengge15 分钟前
SpringBoot篇(运维实用篇 - 临时属性)
运维·spring boot·后端
速盾cdn17 分钟前
速盾:什么是高防CDN?高防CDN的用处有哪些?
运维·服务器·网络·web安全
花花少年23 分钟前
pip在ubuntu下换源
linux·ubuntu·pip
黑龙江亿林等级保护测评24 分钟前
做等保二级备案需要准备哪些材料
网络·安全·金融·智能路由器·ddos
y0ungsheep42 分钟前
[GXYCTF 2019]Ping Ping Ping 题解(多种解题方式)
linux·web安全·网络安全·php
星海幻影42 分钟前
网络安全知识见闻终章 ?
网络·安全·web安全
kinlon.liu44 分钟前
安全日志记录的重要性
服务器·网络·安全·安全架构·1024程序员节
海绵波波1071 小时前
Webserver(1.6)Linux系统IO函数
linux·运维·服务器
江水三千里1 小时前
NFS服务器
运维·服务器