安全 on UOG的BLOG http://uogog.github.io/tags/%E5%AE%89%E5%85%A8/ Recent content in 安全 on UOG的BLOG Hugo zh-cn Sat, 30 May 2026 21:25:58 +0800 SELinux 学习 http://uogog.github.io/posts/selinux_learn/ Sat, 30 May 2026 21:25:58 +0800 http://uogog.github.io/posts/selinux_learn/ <h1 id="selinux简介"> SElinux简介 <a class="heading-link" href="#selinux%e7%ae%80%e4%bb%8b"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h1> <p>SElinux 阻止小白学习linux的一大拦路虎<br> 这东西其实就是用来防止小白误操作的。<br> 但是你学linux怎么能不误操作几次呢<br> 哪有每个命令都敲对的,不错几次不是人。<br> 这个东西,主要是在rwx这个限制上加上另一种限制<br> 防止进程访问一些他不能访问的资源。有些意思的是<br> 限制是加在inode上的,ntfs其实有可能不能用这个(我没调查过)<br> 具体的机制我很难几句话说清楚,所以建议看鸟哥书。</p> <h2 id="selinux工作模式"> SElinux工作模式 <a class="heading-link" href="#selinux%e5%b7%a5%e4%bd%9c%e6%a8%a1%e5%bc%8f"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h2> <p>3个: disable:不工作 permissive:有问题只写写log enforcing:有问题直接禁止 SElinux的限制只发生在rwx这些权限后!!</p> <h2 id="selinux某些概念"> SElinux某些概念 <a class="heading-link" href="#selinux%e6%9f%90%e4%ba%9b%e6%a6%82%e5%bf%b5"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h2> <ul> <li>政策(策略比较合适其实)与规则:其实有点像默认配置,说默认那种那种什么什么限制,有多种政策。</li> <li>安全本文(security context):另一种rwx权限罢了,但是设计的很闹心,每个不同对象(进程,文件,端口)含义不一样 <table> <thead> <tr> <th>对象</th> <th>安全本文</th> <th>含义</th> </tr> </thead> <tbody> <tr> <td>进程如chronyd守护进程</td> <td>system_u:system_r:chronyd_t</td> <td>他是system用户权限,可以使用system_r角色(system_u还可以使用其他的),他这个的作用域是chrony_t(这个角色还可以使用其他的域),chrony_t基本决定他可以碰那些文件</td> </tr> <tr> <td>文件 如chronyd的2进制文件</td> <td>system_u:object_r:chronyd_exec_t</td> <td>第一个表示谁创建的,第2个表示他是文件,无意义,第3个表示他一般属于chronyd域(这个有默认命名规则的)</td> </tr> </tbody> </table> </li> </ul> <h1 id="模式操作"> 模式操作 <a class="heading-link" href="#%e6%a8%a1%e5%bc%8f%e6%93%8d%e4%bd%9c"> <i class="fa-solid fa-link" aria-hidden="true" title="链接到标题"></i> <span class="sr-only">链接到标题</span> </a> </h1> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">getenforce <span class="c1"># 看看是3种的哪一种模式</span> </span></span><span class="line"><span class="cl">setenforce <span class="m">0</span> <span class="c1"># 调成permissive</span> </span></span><span class="line"><span class="cl">setenforce <span class="m">1</span> <span class="c1"># 调成enforcing</span> </span></span><span class="line"><span class="cl"> </span></span><span class="line"><span class="cl">sestatus <span class="c1"># 详细设置,看策略</span> </span></span></code></pre></div><pre tabindex="0"><code>SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33 </code></pre><p>设置开机下的模式</p>