SELinux是什麼?其主要工作模式都有哪些?

老男孩IT教育機構發表於2023-02-28

  SELinux,全稱為Security Enhanced Linux,也就是安全強化的Linux,由美國國家安全域性(NSA)聯合其他安全機構(比如SCC公司)共同開發的,旨在增強傳統Linux作業系統的安全性,解決傳統Linux系統中自主訪問控制(DAC)系統中的各種許可權問題(如root許可權過高等)。

  SELinux提供了3種工作模式:Disabled、Permissive和Enforcing,而每種模式都為Linux系統安全提供了不同的好處。

  1、Disable工作模式(關閉模式)

  在Disable模式中,SELinux被關閉,預設的DAC訪問控制方式被使用。對於那些不需要增強安全性的環境來說,該模式是非常有用的。

  例如,若從你的角度看正在執行的應用程式工作正常,但是卻產生了大量的SELinux AVC拒絕訊息,最終可能會填滿日誌檔案,從而導致系統無法使用。在這種情況下,最直接的解決方法就是禁用SELinux,當然,你也可以在應用程式所訪問的檔案上設定正確的安全上下文。

  需要注意的是,在禁用SELinux之前,需要考慮一下是否可能會在系統上再次使用SELinux,如果決定以後將其設定為Enforcing或 Permissive,那麼當下次重啟系統時,系統將會透過一個自動SELinux檔案重新程式標記。

  關閉SELinux的方式也很簡單,只需編輯配置檔案/etc/selinux/config,並將文字中SELINUX=更改為SELINUX=disabled即可,重啟系統後,SELinux就被禁用了。

  2、Permissive工作模式(寬容模式)

  在Permissive模式中,SELinux被啟用,但安全策略規則並沒有被強制執行。當安全策略規則應該拒絕訪問時,訪問仍然被允許。然而,此時會向日志檔案傳送一條訊息,表示該訪問應該被拒絕。

  某些情況下,可使用audit2allow命令來讀取SELinux稽核日誌並生成新的SELinux規則,從而有選擇性地允許被拒絕的行為,而這也是一種在不禁用SELinux的情況下,讓應用程式在Linux系統上工作的快速方法。

  3、Enforcing工作模式(強制模式)

  從此模式的名稱就可以看出,在Enforcing模式中,SELinux被啟動,並強制執行所有的安全策略規則。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2937410/,如需轉載,請註明出處,否則將追究法律責任。

相關文章