1. 概念 SELinux有三种工作模式:Enforcing, Permissive, disabled.Enforcing对应又有几种修饰(targeted, minimum, mls). 2. 解释 Enforcing就是开启,并真实有效:Permissive是开启,但是只记录错误到 /var/log/audit/audit.log 中,不真实有效.Disabled 则是关闭了SELinux 开启了Enforcing又有几种策略:targeted为选定的目标进行被保护(初始安装的进程有被保护…

  目录(?)[+]   1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一个安全体系结构,它通过LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中.它是NSA (United State…

1. 实验项目 $ django-admin startproject myweb $ cd myweb/ $ python manage.py startapp poll 1. 配置使用MySQL vim myweb/settings.py DATEBASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', 'OPTIONS': { 'read_default_file': os.path.join(BASE_DIR, 'cfg/m…

参考文章: 一. http://blog.csdn.net/innost/article/details/19299937 二. http://blog.csdn.net/innost/article/details/19641487 三. http://blog.csdn.net/innost/article/details/19767621 另外一篇参考文章: https://software.intel.com/en-us/android/articles/android-security…

文章来源:http://blog.csdn.net/johnnycode/article/details/41947581 2014-12-16日 昨天晚上处理好的网络訪问连接.早晨又訪问不到了. 现象是Nginx能够获得 Respone Head信息,但Respone Body信息间歇性能够获取,Nginx配置为监听80port.iptables 和 selinux 服务停止状态. 终于的处理结论是某IDC要求80port必须申请白名单才干够訪问,由于能够间歇性获取 Respone Body…

1. 简介 SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 客体类别 定义内核支持的客体类别和许可的策略语言指令,并对SELinux系统中内核客体类别标准做一个概述. 2.1 SELinux中客体类别的用途 客体类别及其许可是SELinux中访问控制的基础,个客体类别 被定义: [cpp] view plain copy #define COMMON_FILE_SOCK_PERMS "ioctl", "read", &q…

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统--百度百科. 基于经验来说SELinux在Linux文件“用户-组-其他”这一权限控制的基础上,将各常用软件的“平时只访问这些目录和文件”变成“以后只能访问这些目录和文件”. 比如对于mysql用户有/mysql/log的全部读写执行权限,但你将mysql数据库的日志目录在配置文件中修改成/mysql/log那mysql会被SELinux阻…

Ansible配置 配置文件:/etc/ansible/ansible.cfg [default] 默认配置 inventory = /etc/ansible/hosts主机清单 library = /usr/share/my_modules库 module_utils = /usr/share/my_module_utils模块路径 remote_tmp = ~/.ansible/tmp远程临时路径 local_tmp = ~/.ansible/tmp本地临时路径 ansible执行一个命令会…

只需要参考这篇文章就好了: http://www.jishux.com/plus/view-631994-1.html 注意 在linux中 两个术语 的严格区分和使用: 改变: change; 改变时间 : ctime (when file status/ label last changed ) , 在ls中使用的话, 就是使用 -c这个选项. 修改: modify ; 修改时间 mtime (when file's data(content) lat changed). 但是在ls中显示m…

ps:今天在远程给服务器配置https的时候,一直乱码,以前做系统的系统第一件事情,就是关闭selinx,今天忘记了,然后就悲剧了... 弄了半天才弄好,镇定思痛,好好的来看下selinux 1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制. Security-Enhanced Linux (SELinux)由以下两部分组成: 1) Kernel SELinux模块(/kernel/security/selinux) 2) 用户态工具 SELinux是一…

安全增强式Linux(SELinux, Security-Enhanced Linux)是一种强制访问控制(mandatory access control)的实现.它的作法是以最小权限原则(principle of least privilege)为基础,在Linux核心中使用Linux安全模块(Linux Security Modules).它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux.BSD等)的修改.SELinux 是 MAC (Mandatory Ac…

1. 描述 sesearch用于搜索SELinux安全策略规则集,命令来自包:yum install setools-console. 2. 命令 命令使用方法: sesearch [OPTIONS] RULE_TYPE [RULE_TYPE ...] [EXPRESSION] [POLICY ...] OPTIONS: -d, --direct 不搜索 type 的属性 -R, --regex 使用正则表达式进行匹配 -n, --linenum 显示每条可用规则的行号 -S, --semant…

开发thinkphp的时候, 总是会出现各种个样 的奇怪的毛病, 比如: 说什么Application目录不可写, 比如: 说什么 _STORAGE_WRITE_ERROR, 不能生成 Runtime/Cache/Home/下的缓存文件等. 作为初期开发, 可以不用考虑 安全和性能??? 因此, 为了保证开发的顺利进行, 先把代码写出来, 因此, 第一步就是, 给APPLICATION 完全权限 777, 同时关闭selinux, 将selinux设为0. 就不会出现各种权限, 安全原因引起的…

本文转载自: http://blog.csdn.net/innost/article/details/50377905 一.背景 这个选题很大,但并不是一开始就有这么高大上的追求.最初之时,只是源于对Xposed的好奇.Xposed几乎是定制ROM的神器软件技术架构或者说方法了.它到底是怎么实现呢?我本意就是想搞明白Xposed的实现原理,但随着代码研究的深入,我发现如果不了解虚拟机的实现,而仅简单停留在Xposed的调用流程之上,那真是对Xposed最大的不敬了.另外,歪果仁为什么能写出Xpo…

一.修改主机名 1.零时修改 [root@localhost network-scripts]# hostname jw07 然后就可以看到我们的主机名被修改了…

导读 如果你在之前的Linux生涯中都禁用或忽略了SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的Linux桌面或服务器之下的SELinux系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性. 回到Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制.这个系统就是Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为Linux内核子系统引入了一个健壮的强制控制访问M…

Table of Contents 1 概论 1.1 procfs (/proc 文件系统) 1.1.1 编程接口 1.2 sysctl (/proc/sys目录) 1.2.1 编程接口 1.3 sysfs (/sys 文件系统) 1.4 ioctl 系统调用 1.5 netlink 套接字 概论 procfs (/proc 文件系统) 允许内核以文件的形式向用户空间输出内部信息. 可以通过cat, more和> shell重定向进行查看与写入. 编程接口 内核proc文件系统与seq接口(1)…

原文链接:http://blog.csdn.net/huangbiao86/article/details/6641893 1.1 SElinux概述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NAS)对于强制访问控 制的实现,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件.大部分使用 SELinux 的人使用的都是SELinux就绪的发行版,例如 Fedora.Red Hat Enterprise Linux (RHEL).Debi…

http://blog.csdn.net/myarrow/article/details/9839377 Security-Enhanced Linux(SELinux)的历史 一个小历史将有助于帮助您理解 Security-Enhanced Linux(SELinux)——而且它本身也是段有趣的历史. 美国国家安全局(National Security Agency,NSA)长时间以来就关注大部分操作系统中受限的安全能力. 毕竟,他们的工作之一就是要确保美国国防部使用的计算机在面临没完没了的攻…

Centos7中默认将原来的防火墙iptables升级为了firewalld,firewalld跟iptables比起来至少有两大好处: 1.firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效: 2.firewalld在使用上要比iptables人性化很多,即使不明白"五张表五条链"而且对TCP/IP协议也不理解也可以实现大部分功能. 多知道点 iptables实际包含五张表 大部分iptables的资料都介绍说iptable…

h2:first-child, body>h1:first-child, body>h1:first-child+h2, body>h3:first-child, body>h4:first-child, body>h5:first-child, body>h6:first-child { margin-top: 0; padding-top: 0; } a:first-child h1, a:first-child h2, a:first-child h3, a:fi…

一.基本概念 1.TE模型的安全上下文 所有的操作系统访问控制都基于主体.客体,以及与他们相关的访问控制属性. 在selinux中,访问控制属性叫做安全上下文.所有对象(文件.进程间通信通道.套接字.网络主机等)和主体(进程)都有一个与之关联的安全上下文. 一个安全上下文包含三个元素:用户(user).角色(role)和类型标识符(type identifiers) 安全上下文的形式如下:user:role:type 对进程来说:分别表示用户.角色.类型标识符也被称为域 对客体来说:前两项基本没…

######linux用户分类1.root 用户 linux皇帝 2.普通用户 贫民百姓 [root@oldboyedu-01 oldboy]# useradd oldboy[root@oldboyedu-01 oldboy]# id oldboyuid=500(oldboy) gid=500(oldboy) groups=500(oldboy)[root@oldboyedu-01 oldboy]# id lilaoshiid: lilaoshi: No such user[root@oldbo…

一.前言 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统. SELinux 主要由美国国家安全局开发.2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块. SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大.很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了. 如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本…

0000 这个阶段搞了很多和Android文件权限相关的问题,虽然一知半解,但也算是对Android权限机制有一些自己的理解.遂将这些内容整理出来.因为权限这部分涉及到的内容很多,故将知识分为几块内容分别去整理.目前能想到的概要如下: Android 权限底层实现原理概述 Android uid,gid的生成与权限机制的联系 Android packageManagerService与权限的千丝万缕(源码解析) Android 从recovery模式下的OTA升级理解权限 Android ROO…

摘要:1.SEAndroidapp分类SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):1)untrusted_app 第三方app,没有android平台签名,没有system权限2)platform_app  有android平台签名,没有system权限3)system_app   有android平台签名和system权限从上面划分,权限等级,理论上:        1.SEAndroid app分类 SELinux(或SE…

本文转载自:https://blog.csdn.net/LoongEmbedded/article/details/62430039 1. SELINUX是可以理解为一种Android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样2. 在android里面,有两个类型,一种是文件,一种是进程.   针对这两种类型,我们可以先…

点击返回自学Linux集锦 linux异常处理:selinux配置错误导致无法重启 一次linux无法重启异常记录: 当时第一反应就是梳理最近的配置变更,特别是能预知相关的就是selinux配置变更. 原来是误将SELINUXTYPE看成SELINUX后,将其值改为disabled.导致操作系统服务启动,无法进入单用户模式.变更回来之后,一切正常. 解决方法一: 系统启动的时候,按下‘e’键进入grub编辑界面,编辑grub菜单,使用上下键选择“kernel ” 一行,按‘e’键进入编辑,在末尾…

一.引言 关于Android Build系统,这个话题很早就打算整理下,迟迟没有下笔,决定跟大家分享下.先看下面几条指令,相信编译过Android源码的人都再熟悉不过的. source setenv.sh lunch make -j12 记得最初刚接触Android时,同事告诉我用上面的指令就可以编译Android源码,指令虽短但过几天就记不全或者忘记顺序,每次编译时还需要看看自己的云笔记,冰冷的指令总是难以让我记忆.后来我决定认真研究下这个指令的含义.知其然还需知其所以然,这样能更深层次的理解…

错误原因 配置关闭SELinux,结果误操作 应修改配置文件/etc/selinux/config中的“SELINUX”参数的值, # SELINUX=enforcing  原始配置 SELINUX=disabled    正确 但是误将“SELINUXTYPE”看成“SELINUX”,设置了SELINUXTYPE参数: #SELINUXTYPE=targeted  原始配置 这个不必修改. SELINUXTYPE=disabled  错误 错误结果 重启后 机器就报 Failed to loa…