Linux入门之 SELinux 简介

于 2022-09-24 16:51:40 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: surprise os os 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27868061/article/details/126720550
SELinux作为Linux中的强制访问控制机制,提供细粒度的安全层。它基于MAC策略,通过上下文标签定义进程和资源的交互规则。例如,允许httpd_t类型的Web服务器进程访问httpd_sys_content_t类型的文件,但限制对其他敏感目录的访问。SELinux的好处包括增强的数据隔离和访问控制,即使在进程被入侵时也能限制其损害范围。它与DAC规则一起工作,内置于内核的LSM中,并可通过多种工具进行管理和配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文档:Getting started with SELinux

 

1.简介

Security Enhanced Linux (SELinux) 提供了额外的系统安全层。

SELinux 从根本上回答了这个问题:<subject> 可以对 <object> 做 <action> 吗

2.DAC与MAC

基于用户、组和其他权限的标准访问策略,称为自主访问控制 (DAC)

不允许系统管理员创建全面和细粒度的安全策略

安全增强型 Linux (SELinux) 实施强制访问控制 (MAC)。

每个进程和系统资源都有一个特殊的安全标签,称为SELinux 上下文。有时称为SELinux 标签

它抽象出系统级细节并专注于实体的安全属性。

这提供了在 SELinux 策略中引用对象的一致方式,还消除了其他标识方法中可能存在的歧义。

比如一个文件在使用绑定挂载的系统上可以有多个有效路径名。

SELinux 策略在一系列规则中

了解本专栏 订阅专栏 解锁全文 超级会员免费看
博客
spring源码解析之从AbstractApplicationContext#refresh()初始化单例过程看Bean的创建过程
10-16 1466
1.简介AbstractApplicationContext#refresh()方法的最后一步是初始化所有单例 /** * 完成此上下文的bean工厂的初始化,初始化所有剩余的单例bean。 * @param beanFactory */ protected void finishBeanFactoryInitialization(ConfigurableListableBeanFactory beanFactory) { /** 为此上下文初始化转换服务{@link.
博客
spring源码解析之ConfigurationClassPostProcessor对@Configuration注解的处理
10-14 1623
1.简介之前讨论过,spring框架在读取配置类Bean定义时,会预先注册一系列BeanDefinitionRegistryPostProcessor、BeanPostProcessor用来处理@Configuration、@Autowired等注解其中ConfigurationClassPostProcessor就是用来处理@Configuration注解,读取配置类,注册配置的Bean定义。2.继承结构实现了BeanDefinitionRegistryPo...
博客
spring源码解析之注解配置后处理器对@Configuration、@Autowired、@Value、@Inject、@PreDestroy、@PostConstruct等注解的处理
10-14 1663
1.简介spring框架在从配置类中读取bean定义时,会对一些注解进行处理,比如遇到@Configuration注解,需要读取配置类中@Bean注解的方法,定义为Bean,遇到@Autowired注解,需要自动装配依赖。这些都是通过BeanDefinitionRegistryPostProcessor、BeanPostProcessor等后处理器来实现的1.1AnnotatedBeanDefinitionReaderAnnotatedBeanDefinitionRe...
博客
spring源码解析之AnnotationConfigWebApplicationContext#loadBeanDefinitions()方法加载BeanDefinition过程
10-13 2075
1.简介AnnotationConfigWebApplicationContext是常用的上下文容器类,在spring boot没有流行的时候,以前用tomcat在web.xml配置spring容器时,如果使用Java注解的配置类,一般都会使用这个上下文类顾名思义,AnnotationConfig代表注解配置,Web代表具有web功能,可以访问ServletContext。这是这个上下文的基本功能。之前在spring源码解析之AbstractApplicationContext#..
博客
spring源码解析之AbstractApplicationContext#refresh()方法刷新上下文过程
10-12 963
1.简介方法的定义 /** * 加载或刷新配置的持久性表示形式,它可能来自基于Java的配置,XML文件,属性文件,关系数据库模式或其他格式。 * 由于这是一种启动方法,因此,如果失败,则应销毁已创建的单例,以避免资源悬空。 * 换句话说,在调用此方法之后,应实例化所有单例或根本不实例化。 * @throws BeansException 如果无法初始化bean工厂 * @throws IllegalStateException 如果已经初始化并且多次刷新.不支持尝.
博客
nginx 配置SPA应用路由前缀
04-13 678
try_files 的最后一个回退项目也必须有前缀,这样才能再次匹配这个 block。用 alias 改变当前目录。路由匹配要使用 ^~
博客
记一个 react 配置路由前缀问题
04-13 1297
react 配置路由前缀需要注意两点。
博客
android入门之 Support Library
11-07 1071
开发支持多个 API 版本的应用时,需要一种方法在早期版本的 Android 上提供更新的功能,或者优雅地回退到等效功能。可以利用支持库来提供兼容层,而不是构建代码来处理平台的早期版本。支持库提供标准框架 API 中不可用的其他便利类和功能,以便更轻松地开发和支持更多设备。Android 支持库最初是一个用于应用程序的二进制库,现已发展成为一套用于应用程序开发的库。许多这些库现在是应用程序开发的一部分,即使不是必需的,也是强烈推荐的。
博客
记一个 Europe/Pari 时区冬令时从+2:00变成+1:00问题
10-31 550
而由于冬令时,Europe/Paris 变成了+1:00,早上10:00对应的+8:00区的下午五点。最后发现,之前Europe/Paris 是 +2:00,早上10:00对应的+8:00区的下午四点。代码里写死了时区 Europe/Paris ,而且时间点都是以文字时区为准。但是今天发现,在本地对应的时间没有运行。
博客
Linux入门之使用 dmesg 查看引导日志
10-29 2395
在许多 Linux 系统上,引导过程会生成特别密集的内核消息流。许多管理问题与引导过程中是否成功枚举所需的硬件设备有关Linux 将消息缓冲区的启动后副本存储在/var/log/dmesg或类似的安全系统位置。最初启动时,计算机系统会将其内核加载到内存中。在这个阶段,内核中的设备驱动程序被设置为驱动相关硬件。这样的驱动程序,以及内核中的其他元素,可能会产生输出消息,报告模块和参数的值。引导过程通常以这样的速度:在可以阅读/消化它们之前,消息从屏幕顶部滚动出来。(
博客
记一个 Nvidia Control Panel 打不开的问题
10-21 4236
Nvidia Control Panel 打不开,找到了应用点击没反应。
博客
make入门之编写 makefile
10-16 841
Makefile 包含五种内容:显式规则、 隐式规则、变量定义、指令和注释。显式规则:何时及如何重新制作目标。列出了依赖的先决条件,提供创建或更新目标的配方。隐式规则:何时及如何根据文件名重新制作目标。描述如何依赖于名称与目标相似的文件。变量定义:为变量指定文本字符串值,变量可以替换到文本中。指令:make在读取 makefile 时执行特殊操作 的指令。#:在makefile 的一行中开始注释。它和该行的其余部分被忽略,deferreddeferred。
博客
node.js入门之 mac os下安装 nvm
10-09 488
安装脚本与 linux 下一样编辑 ~/.zshrc。
博客
mac os入门之安装 brew
10-09 377
​Homebrew 安装了Apple(或 Linux 系统)不需要的东西。​Homebrew 将软件包安装到自己的目录,然后将文件符号链接到/usr/localHomebrew 不会在其目录之外安装文件,可以将 Homebrew 安装放置喜欢的任何位置。
博客
android入门之使用 adb 进行屏幕截图
10-05 1172
在 shell 里进行截图,保存到 sdcard。下载截图到计算机当前目录。
博客
node.js实战之使用 jsdom
10-05 2332
jsdom 是许多 web 标准的纯 JavaScript 实现,特别是 WHATWG DOM和HTML标准。该项目的目标是模拟足够多的 Web 浏览器子集,以用于测试和抓取真实世界的 Web 应用程序。最新版本的 jsdom 需要 Node.js v14 或更高版本。
博客
Linux入门之使用 top 查看系统进程
09-28 874
top命令显示系统上正在运行的进程的实时列表。还显示有关系统正常运行时间、当前 CPU 和内存使用情况和正在运行的进程总数的附加信息并允许执行诸如排序列表或终止进程等操作。
博客
Linux入门之使用 ps 查看系统进程
09-28 710
ps命令允许显示有关正在运行的进程的信息。它从/proc文件系统中的虚拟文件中读取进程信息。它会生成一个静态列表,即执行命令时正在运行的内容的快照。如果想要不断更新的正在运行的进程列表,请改用top命令或系统监视器应用程序。
博客
cloudflare入门之附加 cookie
09-26 2274
Cloudflare 使用 cookie 来最大化网络资源、管理流量并保护网站免受恶意流量的侵害。
博客
cloudflare入门之 /cdn-cgi/ 端点
09-26 3046
将域添加到 Cloudflare时,Cloudflare 会向该域添加一个/cdn-cgi/端点此端点由 Cloudflare 管理。它不能被修改或定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值