SELinux 权限设置
2010-5-26
陈 恒
一、SELinux简介
SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,可防御未知攻击,据称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。
应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高要求的信息很高的安全保障。 SELinux vs Linux 普通Linux安全和传统Unix系统一样,基于自主存取控制方法,即DAC,只要符合规定的权限,如规定的所有者和文件属性等,就可存取资源。在传统的安全机制下,一些通过setuid/setgid的程序就产生了严重安全隐患,甚至一些错误的配置就可引发巨大的漏洞,被轻易攻击。
而SELinux则基于强制存取控制方法,即MAC,透过强制性的安全策略,应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作,否则都将遭到拒绝或失败,而这些问题将不会影响其他正常运作的程序和应用,并保持它们的安全系统结构。
二、SELinux主要配制文件
SELinux主要配制文件位于/etc/selinux/下。在网络中的服务器,建议开启SELinx,以提高系统的安全性。我这里通过命令方式来改变SELinx的安全策略,就不在对SELinux的配制文件做具体说明。
三、SELinux常用的命令
Ø ls –Z | ps –Z | id –Z
分别用于查看文件(夹)、进程和用户的SELinx属性。最常用的是ls -Z
Ø sestatus
查看当前SELinux的运行状态
Ø setenforce
在SELinux为启动模式下,用此命令可以暂时停用SELinux
Ø getsebool
查看当前Policy(策略)的布尔值
Ø setsebool
设置Policy的布尔值,以启用或停用某项Policy
Ø chcon
改变文件或文件夹的content标记
四、SELinux实用案例
4.1 SELinux对Apache的保护
新安装的wordpress位于/vogins/share/wordpress下,按照系统的默认策略,/vogins,/vogins/share的SELinux属性为file_t,而这是不允许httpd进程直接访问的。为此,需要做如下高调整:
1) 改变/vogins,/vogins/share的SELinux属性
Shell> chcon –t var_t /vogins
Shell> chcon –t var_t /vogins/share
2) 改变wrodpress目录的SELinux属性
Shell> chcon –R –t httpd_sys_content_t wordpress
3) 允许apache进程访问mysql
setsebool -P httpd_can_network_connect=1
4) 关于Apache里虚拟主机的配制就里就不多说,重新启动apache,就可以正常访问wordpress
Shell> /etc/init.d/httpd start
注意:如果出现不能访问的情况,请查看/var/log/messages里的日志。一般来说,按照提示就可以解决了。
相关推荐
本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce ...
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
APK启动bin相关selinux权限,基于mtk android 6.0平台
SELinux 类权限 ObjectClassesPerms
SEAndroid是SELinux in Android的缩写。SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA)...
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar,太多无法一一验证是否可用,程序如果跑不起来需要自调,部分代码功能进行参考学习。
RKXX_Android4.4 SELinux 权限配置说明 Android 4.4 updates its SELinux configuration from "permissive" to "enforcing." This means potential policy violations within a SELinux domain that has an ...
SELinux是在进行程序、文件等权限设置一句的一个内核模块。 传统的DAC模式 我们知道在Linux下面的ugo权限模式,即通过rwx权限对用户进行访问控制。这也可以称作为DAC(自主访问控制方式)。但这种访问控制方式存在...
这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件...
关于android5.1权限管理说明文档
SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为每一个进程,每一个文件,每一个属性都定义了标签,用来控制进程对文件的操作的权限控制...
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
安卓增加自启动守护进程时,selinux权限的增加方式
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
Android5.X即以上系统权限解决方法,android 5.x开始,引入了非常严格的selinux权限管理机制
访问权限可以限制在哪些⽤户和应⽤程序可以访问哪些资源这样的变量上(由变量控制访问权限)。这些资源可以采⽤⽂件的形式。 ⽤户和⽤户运⾏的应⽤程序可以修改标准的Linux访问控制,例如⽂件模式(-rwxr-xr-x) 。...
用于解决CentOs下SeLinux拦截nginx读取文件的问题 使用方法,把本脚本复制到站点根目录的父目录使用管理员权限运行
SELinux for Android 8.0_中文版.doc (Android8.0 sepolicy权限新特性,权限配置指导)
基于SELinux强制访问控制下Linux OS的安全性研究,李克迪,袁玉宇,Linux做为一种可靠性好、稳定性高的系统应用很广,但是他也和其他的UNIX 一样,存在诸如存在特权用户、访问权限划分不细等不足之处��