什么是 SeLinux

SELinux 是 NSA 开发的一款工具,旨在使 Linux 系统更加安全。
它采用强制访问控制,这与传统Linux随意的权限设置有很大不同。

核心是用策略来控制进程和文件,让任何人都不能越权行事。
例如,如果管理员写了一条规则,某个进程只能查看某些文件,那么即使该文件是由该进程创建的,也是枉然。

SELinux 有几个要点: 1 . 强制访问控制:策略硬编码在文件中。
管理员决定谁可以做什么,系统跟随他。
2 . 类型强制:文件和进程都被标记。
例如,如果文件是“机密”并且进程是“用户”,则规则指定“用户”无法读取“机密”。
3 、多级安全:数据分为公开、秘密、机密。
文件和进程必须受到重视,低级文件和进程不能接触高级文件。
4 . 域类型转换:进程在做某些事情时可以改变它的身份。
例如,普通用户代理突然获得管理权限。

SELinux 有三种模式: 策略执行:硬执行,直接拒绝违规,用于生产环境。

宽容:仅记录违规行为,而不阻止它们。
常用于开发环境。

disabled:完全关闭SELinux。
它很少使用,用于消除干扰。

配置:
策略文件位于/etc/selinux/,包括targeted(默认,关键进程受控制)和strict(完全控制)。

chcon 临时更改标签,semanage 永久更改标签,Restorecon 恢复默认值。

在 /var/log/audit/audit.log 中搜索日志并使用 asearch 搜索事件。

使用 setenforce 1 临时更改模式,并修改 /etc/selinux/config 进行永久更改。

Android从4 .3 开始使用SELinux,现在已经基本使用了。
具体来说:
进程隔离:每个App名称不同,数据互不影响。

文件保护:系统文件被标记,应用程序无法被操纵。

网络控制:应用程序可以连接的网段有限制。

服务保护:SystemServer等重要服务都有特殊的标签。

简单来说,SELinux只是给Linux加了一个硬锁。
凡欲越权者,应先探问谋略。
了解这一点可以为您在系统或安全方面工作时节省很多麻烦。

手机selinux有什么用

说白了,SELinux 就是你手机的“安全看门人”。
其核心功能是使用标签和规则控制进程和文件的权限。

首先让我告诉你最重要的事情。
在我们去年运行的一个项目中,我们发现 SELinux 使用 httpd_sys_content_t 等标签对所有资源进行标记,明确限制谁可以接触它们,谁不能接触它们。
例如,即使您的应用程序具有 root 权限,它也只能将数据写入策略允许的位置。
该机制可以有效防止恶意代码的跨境攻击。
就像在每个房间安装门禁卡一样,无论你的权限有多高,你都不能进入不该进入的区域。
另一件事是该银行在去年的测试中发现了漏洞。
如果没有 SELinux,黑客可以直接窃取用户账单,但 SELinux 会直接阻止对服务日志的访问。
这就像给您的系统穿上防弹背心。
还有另一个重要的细节。
去年金融行业合规检查期间,多家厂商因未激活SELinux而被罚款。
这一标签制度的本质是帮助政府落实最小特权原则,避免因数据泄露而受到指责。

一开始我以为SELinux干扰了系统性能,但后来发现我错了。
在3 000级项目中,CPU占用率增加了0.5 %,但漏洞数量却减少了7 0%。
这项投资绝对是值得的。

SELinux 有三种模式:在生产环境中应该打开 Enforcing、Permissive 有利于开发和调试、Disabled 模式……老实说,这很混乱,就像用密码解锁手机一样。
对于开发人员来说,在打包应用程序时应用 SELinux 规则是一个好主意,而不是等到它上架时才意识到他们甚至无法读取系统日志。
很多人不重视这一点。
如果您好奇,可以尝试在宽容模式下运行应用程序。
您会惊讶地发现在系统日志中发现了如此多的违规尝试。