Linux之selinux安全上下文

2021-10-25 18:41:54 字數 1523 閱讀 3058

檢視selinux安全上下文:ls -z

[root@localhost ~]# touch /var/ftp/hellohello  新建檔案測試

[root@localhost ~]# ls /var/ftp/ 檢視目錄ftp中的內容

hellohello pub

[root@localhost ~]# touch /mnt/haha1

[root@localhost ~]# mv /mnt/haha1 /var/ftp/haha1 #複製是新建的過程,移動是重新命名的過程,檔案系統許可權和屬性不會改變

[root@localhost ~]# getenforce

enforcing

[root@localhost ~]# cd /var/ftp

[root@localhost ftp]# ls -z

-rw-r--r--. root root unconfined_u:object_r:mnt_t:s0 haha1 #安全上下文為mnt_t

-rw-r--r--. root root system_u:object_r:public_content_t:s0 hellohello #安全上下文為public_content_t

drwxr-xr-x. root root system_u:object_r:public_content_t:s0 pub

system_u:object_r:public_content_t:s0

對應 身份:角色:型別:靈敏度

命令: seinfo [選項]

選項:-u: 列出selinux中所有的身份(user)

-r: 列出selinux中所有的角色(role)

-t: 列出selinux中所有的型別(type)

-b: 列出所有的布林值(也就是策略中的具體規則名稱)

-x: 顯示更多的資訊

身份:

常見如下:

unconfined_u:不受限使用者,即該檔案來自不受限制的程序所產生,如上文haha1

system_u:

系統使用者,大部分是系統自己產生的檔案。如果是網路服務所產生的的檔案,或者系統服務執行過程中的檔案,

則大部分的識別就會是system_u,如:上文hellohello

角色:

常見如下:

object_r:代表該資料是檔案或目錄,

system_r:代表該資料是程序,一般使用者也會被指定為 system_r

這裡的 「_r」 代表 role

型別:乙個主體程序能不能讀到這個檔案資源取決於它的型別

型別在檔案資源上稱為type,在主體程序上稱為域domain

type需要和domain匹配程序才可以讀取檔案資源

靈敏度:

一般是用 s0、s1、s2 來命名的,數字代表靈敏度的分級。數值越大,代表靈敏度越高。

具體策略規則檢視參考:

Linux 練習 安全加固SELinux

1 啟用 selinux 策略並安裝 httpd 服務,改變 的預設主目錄為 website,新增 selinux 檔案標籤規則,使 可訪問 安裝 httpd 建立 website 及首頁檔案 root localhost mkdir website root localhost echo seli...

Linux 高階安全SELinux的關閉

linux有乙個高階安全元件,如果開啟會輸出打了的日誌檔案messages.如下 導致 var log messages 達到11g root cpp11 df l 檔案系統 1k 塊 已用 可用 已用 掛載點 dev cciss c0d0p5 14877060 12559852 1549304 9...

linux系統之selinux詳解

一 全稱 核心級加強型防火牆作用 限制ftp服務功能 1.針對檔案,會對系統中每個檔案新增安全上下文 context 2.針對程序,會對系統中每個程序新增安全上下文 context 3.會在系統服務上設定sebool開關 閥值 4.當程序安全上下文和檔案的安全上下文不匹配時,程序無法訪問此檔案 5....