什么是 SELinux(安全增强型 Linux)?

什么是 SELinux?

安全增强型 Linux(SELinux)是一种采用安全架构的 Linux® 系统,它能够让管理员更好地管控哪些人可以访问系统。它最初是作为 Linux 内核的一系列补丁,由美国国家安全局(NSA)利用 Linux 安全模块(LSM)开发而成。

SELinux 于 2000 年发布到开源社区,并于 2003 年集成到上游 Linux 内核中。

SELinux 的工作原理

SELinux 用于定义对系统上应用、进程和文件的访问控制。利用安全策略(一组规则,用于告知 SELinux 可以或不能访问哪些内容)来强制执行策略所允许的访问。

当应用或进程(称为主体)发出访问对象(如文件)的请求时,SELinux 会检查访问向量缓存(AVC),其中缓存有主体和对象的访问权限。

如果 SELinux 无法根据缓存的权限决定是授予还是拒绝授予权限,它会将请求发送到安全服务器。安全服务器随即检查应用或进程和文件的安全环境,确认其是否匹配 SELinux 策略数据库的安全环境。然后,便根据检查授予或拒绝授予权限。

如果拒绝授予权限,/var/log.messages 中将会显示"avc: denied"消息。

如何配置 SELinux

您可以通过多种方式来配置 SELinux,以保护系统。最常见的是目标策略或多级安全防护(MLS)。

目标策略为默认选项,它涵盖了多种进程、任务和服务。MLS 则极为复杂,通常只有政府机构才会使用。

您可以查看 /etc/sysconfig/selinux 文件,以判断系统所采用的配置方式。该文件中有一部分会显示 SELinux 是处于允许模式、强制执行模式还是禁用状态,以及要加载哪个策略。

SELinux 标签和类型强制访问控制

类型强制访问控制和标签是 SELinux 中最为重要的两个概念。

SELinux 可作为标签系统运行,也就是说,系统中的所有文件、进程和端口都具有与之关联的 SELinux 标签。标签可以按照逻辑将目标组合分组。在启动过程中,内核负责管理标签。

标签的格式为 user:role:type:level(level 为可选项)。User、role 和 level 用于更高级的 SELinux 实施中,例如 MLS。标签类型对于目标策略而言最为重要。

SELinux 利用类型强制访问控制来强制执行系统中定义的策略。类型强制访问控制是 SELinux 策略的一部分,它定义了特定类型的进程能否访问标记为特定类型的文件。

启用 SELinux

如果您的环境中禁用了 SELinux,可以通过编辑 /etc/selinux/config 并设置 SELINUX=permissive 来启用 SElinux。由于 SELinux 当前尚未启用,因此最好不要将其设为立即强制执行,因为此时系统可能会出现误标记的事件,这会导致系统无法正常启动。

您可以在根目录中创建名为 .autorelabel 的空文件,然后重新启动,以此来强制系统自动重新标记文件系统。如果系统中错误过多,应在允许模式下重新启动,以确保启动成功。重新标记所有内容后,利用 /etc/selinux/config 将 SELinux 设置为强制执行模式并重新启动,或运行 setenforce 1。

如果系统管理员不太熟悉命令行,还可以选择用于管理 SELinux 的图形工具。

SELinux 为 Linux 发行版中内置的系统提供了一道额外的防护层。将 SELinux 保持开始状态,就能在系统遭到破坏时保护系统。

相关推荐
宁zz20 小时前
乌班图安装jenkins
运维·jenkins
大丈夫立于天地间20 小时前
ISIS协议中的数据库同步
运维·网络·信息与通信
cg501720 小时前
Spring Boot 的配置文件
java·linux·spring boot
暮云星影20 小时前
三、FFmpeg学习笔记
linux·ffmpeg
rainFFrain21 小时前
单例模式与线程安全
linux·运维·服务器·vscode·单例模式
GalaxyPokemon21 小时前
Muduo网络库实现 [九] - EventLoopThread模块
linux·服务器·c++
mingqian_chu21 小时前
ubuntu中使用安卓模拟器
android·linux·ubuntu
币之互联万物21 小时前
AQUA爱克泳池设备入驻济南校园,以品质筑牢游泳教育安全防线
安全
@郭小茶1 天前
docker-compose方式部署docker项目
运维·docker·容器