SELinux Targeted、MLS和Minimum策略

首先,需要明确的是SELinux(Security-Enhanced Linux)是一种安全模块,其实现了强制访问控制(MAC)机制来保护Linux系统。最常见的SELinux策略包括Targeted、MLS和Minimum,下面分别进行详细讲解。

SELinux Targeted策略

Targeted策略的概述

Targeted是SELinux的默认策略,可以适用于大多数Linux发行版,包括Red Hat、CentOS和Ubuntu等。它的特点是:

  1. 针对一组指定的进程进行限制;
  2. 引入大量的预定义规则和策略,以便在系统保护和控制无法用更细致的访问控制器实现的访问时起到一定的作用;
  3. 在一定程度上,保留了Linux本身的灵活性,同时为系统保护带来更高的安全性。

Targeted策略的设置

在Red Hat、CentOS和Ubuntu等默认安装SELinux的系统中,可以执行以下命令来启用或禁用SELinux:

# 启用SELinux
sudo setenforce 1

# 禁用SELinux
sudo setenforce 0

执行以上命令后还需要修改/etc/selinux/config文件,将SELINUX选项的值设置为enforcing(启用SELinux)或permissive(禁用SELinux)即可。

Targeted策略的应用

Targeted策略可以通过以下命令进行应用:

# 查看SELinux状态
getenforce

# 查看SELinux的安全上下文
ls -lZ 

# 设置文件/目录的安全上下文
chcon [-R] [-t type] file/dir

# 查看文件/目录的安全上下文
ls -Z file/dir

例如,可以使用以下命令将/app目录的安全上下文设置为httpd_sys_content_t

# 设置安全上下文
sudo chcon -R -t httpd_sys_content_t /app

# 验证设置结果
ls -lZ /app

SELinux MLS(Multi-Level Security)策略

MLS策略的概述

MLS也被称为强制完整性策略,它将SELinux带入了多级访问控制的领域。 MLS的目标是以一种非常粒度化的方式来过滤或控制进程/文件/对象的访问基于其安全级别。例如,系统管理员应该只能读取官方文档,不能在系统中轻松地读取敏感的安全信息。

MLS策略的设置

由于MLS的审批和设置需要涉及到更多的安全转折,适用于特定的应用程序和系统场景,因此需要更为严格的协商和规划才能正常使用。

以下是MLS策略常用的相关命令:

# 启用MLS
sudo setenforce 1
sudo selinux-config-enforcing

# 禁用MLS
sudo setenforce 0
sudo selinux-config-permissive

# 查询MLS状态
sudo sestatus

# 为文件/目录/进程等配置安全上下文
sudo chcon [-R] -t type range filename/dirname
sudo chmlabe [-R] -l range filename/dirname
sudo semanage <commands>

# 配置MLS策略
sudo semanage login [-a|-d] [-r range] ttyterm|tty\d+|pts\/\d+ 
sudo semanage port [-a|-d] -p protocol -t type -p begin_port -sp end_port

# 获取策略范围
sudo semanage fcontext -l
sudo seinfo -r

MLS策略的应用

使用MLS策略时,需要对系统中的安全策略进行培训。一些安全监视的表部,例如auditingd、sessiond和MLs_level,等等需要定期更新以确保安全实践与预期的策略相匹配。

例如,要指定SSH登录的最低安全级别并限制用户只能登录指定的tty设备,可以执行以下命令:

# 创建一个自定义的 MLS 安全策略
sudo semanage login -a -s staff_u -r s0-s15:c0.c1023 ttyterm

# 针对 SSH 服务限制标准系统日志、 audit 和管理日志
sudo semanage port -a -t ssh_port_t -p tcp 2525

SELinux Minimum策略

Minimum策略的概述

Minimum策略是一种极小的SELinux策略,它引入了非常简单而小巧的规则来实现最基本的系统安全配置。由于Minimum策略缺少许多预定义的规则和策略,因此它是一种非常灵活的策略,更适合系统管理员在某些特定的场景下应用。

Minimum策略的设置

在CentOS 6和Red Hat Enterprise Linux 6等系统上,可以使用以下命令启用Minimum策略:

# 启用SELinux的Minimum策略
sudo setsebool selinuxuser_use_minimal_rules on

# 禁用SELinux的Enforcing策略
sudo setenforce 0

Minimum策略的应用

如果仅依靠SELinux Minimum策略来保护你的系统,则需要仔细审查并调整所有可能影响系统安全的进程、文件和组件。可以简单地使用chcon命令更改文件的SELinux安全上下文。

例如,可以使用以下命令将/app目录的SELinux安全上下文更改为user_u:object_r:httpd_sys_content_t:s0,以匹配当前用户:

# 修改SELinux上下文
sudo chcon -R -u user_u -r object_r -t httpd_sys_content_t /app

# 验证安全上下文
ls -lZ /app

通过以上的攻略内容,您应该能够熟练掌握SELinux Targeted、MLS以及Minimum策略的使用和配置了。

阅读剩余 66%

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:SELinux Targeted、MLS和Minimum策略 - Python技术站

(0)
上一篇 2023年3月25日
下一篇 2023年3月25日

相关文章

  • Linux内核(内核模块)的加载过程

    首先要理解Linux内核的加载过程。当计算机启动时,系统会将一部分内核代码加载到内存中。可以将内核代码分为两部分:在编译期间静态编译进内核的代码和编译为模块的代码。前者出现在内存中,称为内核镜像,对于后者,内核在运行时才会加载和卸载,这些代码则称为内核模块。下面,我们将详细阐释内核模块的加载过程。 内核模块的自动加载通常发生在如下情况下: 一个硬件设备在系统…

    Linux启动管理 2023年3月25日
    00
  • 详解Linux renice命令:重新设置进程的优先级

    renice 命令是 Linux 下的一个指令,用于调整正在运行的进程的优先级。 作用 默认情况下,Linux 中的一个程序会占用系统中可用的所有进程。而 renice 可以改变程序的优先级。当一个程序优先级高时,它可以占用更多的 CPU 时间和内存,从而加快完成任务的速度。如果优先级低,程序也可以运行,但是在计算机执行其他任务时会占用相对较少的资源。 另外…

    Linux函数大全 2023年3月24日
    00
  • 详解Linux whoami和who am i命令用法和区别

    下面我来详细讲解Linux中whoami和who am i命令的作用和使用方法。 whoami命令 命令作用 whoami命令用于显示当前登录的用户名称。 命令使用方法 打开终端,输入以下命令即可使用whoami命令: whoami 命令使用示例 $ whoami john 如上所示,运行whoami命令后,将会返回当前登录的用户名john。 who am …

    Linux用户和用户组管理 2023年3月25日
    00
  • 详解Linux dig命令:查询 DNS 服务器

    Linux dig命令是一个常用于DNS(Domain Name System,域名系统)查询的工具。通过使用dig命令,我们可以获取域名解析的相关信息,比如IP地址、域名服务器等等。 命令格式 dig命令的基本格式为: dig [选项] [域名] [查询类型] [查询类别] 其中,选项可以选择性地使用,默认为不加选项;域名与查询类型则是必须指定的,查询类别…

    Linux函数大全 2023年3月24日
    00
  • 详解Linux screen命令:在单个终端窗口中运行多个命令会话

    Linux的screen是一个非常常用的命令,可以在一个终端窗口中运行多个会话,并在会话之间自由切换。接下来我将介绍screen命令的基本用法以及常用命令操作,方便站长们进行服务器管理操作。 一、screen命令的作用 screen命令被称为终端多路复用器,可以在单个会话中创建多个虚拟终端,在这些虚拟终端中可以启动不同的终端程序、命令行界面和要运行的任务等等…

    Linux函数大全 2023年3月24日
    00
  • 详解Linux sed命令:对文件进行搜索和替换

    作用与使用方法攻略: Linux中的sed命令是一个非常有用的命令,其主要作用是在输入流中实现替换、插入、删除、打印等操作。sed命令可以处理文件、输入流、管道等,且可以通过正则表达式进行匹配和替换,极大地提高了文本处理的效率。 命令格式 sed [选项] ‘command’ file(s) 命令参数 选项: -n|–quiet|-silent:只显示处理…

    Linux函数大全 2023年3月24日
    00
  • 详解Linux umask详解:令新建文件和目录拥有默认权限

    以下是对Linux umask的作用和使用方法的完整讲解,包括示例说明。 1. umask的作用 umask是一个三位数,用于限制新建文件和目录的权限,默认值为022。它与文件和目录的权限具有以下关系: 新建文件的权限 = 666 – umask 新建目录的权限 = 777 – umask 也就是说,如果umask的值为022,那么新建文件的权限为644,新…

    Linux权限管理 2023年3月25日
    00
  • 详解Linux cut命令:从文件中提取特定字段

    当需要从文本文件或者命令输出中提取某些字段时,可以使用 Linux 中的 cut 命令。”cut” 这个词的含义就是 “剪切”,因此 cut 命令的作用是从文本中剪切出指定字段,然后输出到标准输出或者输出到文件中。 命令格式 cut 命令的基本格式如下: cut [选项] [文件名] 其中,选项主要包括: -f: 指定要提取的字段,可以使用逗号分隔多个字段,…

    Linux函数大全 2023年3月24日
    00
合作推广
合作推广
分享本页
返回顶部