文档章节

SELinux的功能熟悉

陈洪波
 陈洪波
发布于 2015/05/19 19:36
字数 1248
阅读 28
收藏 0

此时,玩SELinux系统就有些价值了。例如,我们使用一个带有严格策略的Fedora Core 4 的发行版。这些大多数例子基本上都能在Red hat Enterprise Linux version 4或者是Fedora Core 5上运行了。虽然可能有些不同,但是你也可能能够使用其他发行版运行。“获取SELinux例子策略”,描述了如何获取贯穿我们这本书作为例子使用的策略文件和其他资源,并且描述了应该如何相应的配置你的系统。

以Permission模式运行:
SELinux能够在访问检查发生地方,以permission模式运行,但不是允许访问,他仅仅就是简单的检查他们。当首次学习SELinux的时候,这个模式是非常有用的,你可能想要以这个模式来探索系统。当然,如果你想要提高SELinux访问的安全性的话,permission模式是不应该被用在操作系统中的。注意,一些工具能够在/usr/sbin中找到,这些通常不会存放在普通的用户路径当中。

查询SELinux当前的模式最简单的方式 就是运行getenforce命令。如果想要设置系统的安全模式为permission模式的话,运行命令setenforce 0。(你一定要以root身份登录系统,并且域标识为sysadm_t才能改变系统到permission模式)。为了是系统回到enforcing模式,运行命令setenforce 1。(因为你是在permission模式下,你需要一root的身份登录来改变系统的模式到enforcing模式。)

我们已经提及到了添加到系统命令的-Z 选项。例如ls和ps这样的命令显示文件和进程的安全上下文。作为一个练习,运行命令ps -Z和ls -Z来为运行的进程和可执行文件检查各种各样的安全上下文。

重新审视密码例程

纵观这一章节,我们使用了shadow密码文件和密码程序的例子。如果你检测这两个文件的安全上下文,他们的类型分别应该是shadow_t和passwd_exec_t。正如之前讨论过的,passwd_exec_t是passwd_t域
的entrypoint类型。为了见证域转换是如何工作的,我们运行下列的命令。你需要两个终端窗口或者是虚拟控制台了来运行这些命令。

在第一个窗口中,运行passwd命令

这里写图片描述

这一命令开始了密码程序,并且提示用户输入密码。不要输入密码,而是要换到第二个终端。在第二个终端中,使用su命令切换到root用户,然后运行ps命令:

这里写图片描述

正如你所看到的,运行着的密码程序的类型是passwd_t,正如在上面章节例子中描述的一样。

重新使用策略文件

在FC4系统中,包含内核策略的二进制文件放置为有名的目录/etc/selinux/中。在那个目录中的配置文件(config)指明了要被使用和在启动的时候被加载的策略。你也可以在这个文件中配置系统以permission权限启动。作为我们的联系,我们使用FC4的严格的策略,他应该在这个地方:

/etc/selinux/strict/policy/policy.[ver]

策略的版本映射了SELinux策略编译器(checkpolicy)的版本。在我们的例子中,版本是19。从策略源中配置一个SELinux系统并且创建一个内核策略文件将在第三部分详细讨论。现在,我们想要查看策略文件中都是有什么。

查看策略文件内容的一个有用的工具是 策略分析工具apol,他是由Tresys Technology创建的,发行在SELinux的工具包中,被称作SeTools。SeTools包被包含在大多数的SELinux发行版中。运行命令apol来检测你的系统中是否存在该工具。如果不存在,我们附录D提供了如何获取SeTools包的信息。

apol工具是一个精致的SELinux策略分析工具,在整本书中,我们都将使用这个工具来分析SELinux策略文件。就现在来说,我们想要使用这个工具的基本功能来分析策略文件的概要。运行apol并且打开一个严格的策略文件。在菜单Query->Policy Summary中,你可以查看策略统计资料的概述。

这里写图片描述

apol有一系列的主选项卡(Policy Components,Policy Rules,Analysis等等),这些选项卡能够帮助你以多种方式查询和分析策略。花费一些时间来探索Policy Components和Policy Rules,并且熟悉策略的这两部分内容和apol工具。你将会发现使用apol来分析你的策略和实例是非常有用的,在我们后面的”SELinux策略语言”这一章节中。

本文转载自:http://blog.csdn.net/hongbochen1223/article/details/45610691

上一篇: 总结
陈洪波
粉丝 2
博文 76
码字总数 1552
作品 0
济南
程序员
私信 提问
selinux配置错误实例介绍

错误原因 配置关闭SELinux,结果误操作 应修改配置文件/etc/selinux/config中的“SELINUX”参数的值, # SELINUX=enforcing 原始配置SELINUX=disabled 正确 但是误将“SELINUXTYPE”看成“S...

问题终结者
2018/11/13
34
0
关闭selinux而不需重启的方法

SELinux简介 SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)对于强 制性访问控制的实现,是linux上最查出的新安全子系统。 应用SELinux后,可以减轻恶意...

Jerry-hu
2014/06/26
5.4K
0
从头开始生成 SELinux

SELinux 是美国国家安全局对于强制访问控制的实现,是 Linux® 上最杰出的新安全子系统。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得...

红薯
2009/01/04
812
0
CentOS7.4中Docker以rw方式挂载volume报Permission denied的解决思路

一、问题背景 今天在CentOS7.4.1708上实践Docker挂载volume,一切按照正常流程进行操作,无论是创建目录、创建文件、还是查看、编辑主机上创建好的文件,都报“Permission denied”,具体如下...

滇池孤鸿
2018/06/07
0
0
CentOS下SELinux安全设置

CentOS下SELinux安全设置 centos 系统安全防御 2017年12月14日 529 0 0 一、SELinux配置文件 在CentOS 7系统中部署SELinux非常简单,由于SELinux已经作为模块集成到内核中,默认SELinux已经处...

linjin200
2018/11/12
63
0

没有更多内容

加载失败,请刷新页面

加载更多

重新开始学Java——反射

概念 reflection:自省 反射:镜子可以反射阳光一个java类 或 对象 通过照"镜子"来认知自己 Java语言中是怎么实现照镜子? java.lang.reflect 包 提供了"照镜子"API(应用程序接口) 如果要...

大家都是低调来的
2分钟前
0
0
爬取720万条城市历史天气数据

内容爬虫完毕,校验完毕,缺失信息暂未统计。总数据720万,地区3200个,年份从2011-2019,大小950Mb,原始数据已丢失,需要的朋友可以自己运行脚本挂一晚上。中间遇到了很多坑,有机会我再写...

八音弦
5分钟前
0
0
python的字典类型

1、新建字典 通过键值对 dict_1 = {'a':1,'b':2,'c':3} 通过dict()函数 list_1 = ['adam', 'bob', 'cathy', 'david', 'emma'] list_2 = [1,2,3,4,5] dict_2 = dict(zip(list_1,list_2)) 2、字......

davidwbnu
7分钟前
0
0
springcloud vue.js 前后分离 activiti工作流

本商品为 :springcloud + Springboot 微服务\分布式 工作流 前后分离 + 跨域 版本 (权限控制到菜单和按钮) 后台框架 :springcloud Greenwich.SR1 + springboot 2.1.4 + activiti6.0.0 + ...

java框架开发者
14分钟前
2
0
【jQuery基础学习】07 jQuery表单插件-Form

本文转载于:专业的前端网站➦【jQuery基础学习】07 jQuery表单插件-Form 作用:jQuery Form插件的作用是为了让我们可以很方便地用ajax的方式提交表单,从而使我们提交表单的时候页面不用进行...

前端老手
23分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部