导图社区 SELinux介绍

SELinux介绍

“SELinux是「Security-Enhanced Linux」的简称，是美国国家安全局「NSA=The National Security Agency」和SCC（Secure Computing Corporation）开发的 Linux的一个扩张强制访问控制安全模块

编辑于2023-02-06 17:40:52 辽宁

SELinux

李林

他的近期作品查看更多>>

SELinux介绍
“SELinux是「Security-Enhanced Linux」的简称，是美国国家安全局「NSA=The National Security Agency」和SCC（Secure Computing Corporation）开发的 Linux的一个扩张强制访问控制安全模块

SELinux介绍

社区模板帮助中心，点此进入>>

李林

他的近期作品查看更多>>

SELinux介绍
“SELinux是「Security-Enhanced Linux」的简称，是美国国家安全局「NSA=The National Security Agency」和SCC（Secure Computing Corporation）开发的 Linux的一个扩张强制访问控制安全模块

相似推荐
大纲

互联网9大思维
- 39.0k
- 974
- 2.4k
- 401
- 0
MindMaster
组织架构-单商户商城webAPP 思维导图。
- 17.8k
- 3
- 186
- 9
- 1
Kacyun
域控上线
- 3.9k
- 170
- 11
- 4
- 0
jackrao
python思维导图
- 8.9k
- 553
- 242
- 7
- 0
(*^▽^*)
css
- 3.4k
- 1
- 43
- 3
- 0
A张舫
CSS
- 5.9k
- 271
- 189
- 33
- 0
journey
计算机操作系统思维导图
- 7.4k
- 353
- 209
- 16
- 0
journey
计算机组成原理
- 3.7k
- 98
- 70
- 8
- 0
journey
IMX6UL(A7)
- 2.3k
- 41
- 5
- 0
- 0
Handler XU
考试学情分析系统
- 3.2k
- 51
- 10
- 1
- 0
蒋龙

SELinux

状态

enforcing

permissive

disabled

命令工具

SELinux 状态 sestatus

cat /sys/fs/selinux/enforce

永久修改，修改配置文件/etc/selinux/config的SELINUX值

查询当前状态 getenforce

临时修改 setenforce [Enforcing | Permissive | 1| 0]

touch /.autorelable

setools-console 软件包中的seinfo/sesearch/sediff/semanage/semodule...

用户

SELinux用户管理semanage user

SELinux与lLinux用户映射关系管理semanage login

id -Z

seinfo -r 和 -u参数

命令

查看映射关系 # semanage login -l

创建新的映射 # semanage login -a -s staff_u tom

修改映射关系 # semanage login -m -s sysadm_u tom

删除映射关系 # semanage login -d tom

查看用户 # semanage user -l

创建自定义用户 # semanage user -a -R staff_r swift_u

修改自定义用户 # semanage user -m -R "staff_r sysadm_r" swift_u

删除自定义用户 # semanage user -d swift_u

具体命令的使用方法可通过 man semanage-user

布尔值

/sys/fs/selinux/booleans

getsebool

setsebool

semanage boolean

文件

查看文件上下文 ls -Z

新建、复制、移动对文件上下文的影响

创建新文件，会继承父文件夹的上下文

复制文件，会继承父文件夹的上下文

移动文件，会保留原有的上下文

修改上下文chcon

chcon [-R] [-t type] [-u user] [-r role] 文件

chcon [-R] --reference=参考文件文件

选项与参数：

-R：递归操作，联通该目录下的子目录也同时修改

-t：指定安全上下文的类型，如 httpd_sys_content_t

-u：指定用户，如system_u

-r：指定角色，如 system_t

--reference=参考文件。根据参考文件来修改此文件的类型

恢复上下文restorecon

管理默认的上下文semanage fcontext

上下文保存在 /etc/selinux/targeted/context/files

进程

查看进程域 ps -Z

查看宽松模式的进程 semanage permissive -l

设置进程域为宽松模式 semanage permissive -a httpd_t

端口

semange port

查看策略中的端口默认值：# semanage port -l

添加新的自定义端口：# semanage port -a -t http_port_t -p tcp 12345

查看本地自定义端口：# semanage port -l -C

删除自定义端口：# semanage port -d -t http_port_t -p tcp 12345

semanage --portcon

排错

日志文件 /var/log/messages /var/log/audit/audit.log /var/log/secure

辅助工具 ausearch、sealert、audit2allow、audit2why等

常见故障top3：上下文标签/布尔值/新的SELinux规则与旧应用的矛盾