SELinuxとは
SELinux は、セキュリティが強化された Linux を指します。Linux のセキュリティ サブシステムです。従来の Linux オペレーティング システムのセキュリティを強化し、自律アクセス制御 (DAC) システムのさまざまな権限を解決するように設計されています。従来の Linux システムの問題 (過剰な root 権限など)。 SELinux は、プロセスが特定のファイル システム上のファイルまたはディレクトリへのアクセス権を持つかどうかを制御する強制アクセス制御 (MAC) システムを使用します。
#このチュートリアルの動作環境: linux7.3 システム、Dell G3 コンピューター。
SELinux とは
SELinux は、Security Enhanced Linux、つまりセキュリティが強化された Linux の略で、米国国家機関によって開発されています。 Security Agency (NSA) ) は、従来の Linux オペレーティング システムのセキュリティを強化し、従来の Linux の随意アクセス制御 (DAC) システムにおけるさまざまな権限の問題を解決するために、他のセキュリティ組織 (SCC Corporation など) によって共同開発された Linux セキュリティ サブシステムです。システム (root 権限が高すぎるなど)。
SELinux プロジェクトは、2000 年に GPL ライセンスの下でオープンソース化されました。Red Hat が Linux ディストリビューションに SELinux を含めると、SELinux は徐々に普及してきました。現在、SELinux は多くの組織で広く使用されており、ほぼすべての Linux カーネル バージョン 2.6 以降に SELinux 機能が統合されています。
初心者でもわかるSELinuxとは、Linux上に配備され、システムのセキュリティを強化する機能モジュールです。
従来の Linux システムでは、デフォルトのアクセス許可は、ファイルまたはディレクトリの所有者、グループ、その他のユーザーの読み取り、書き込み、および実行のアクセス許可を制御することであることがわかっています。この制御方法は任意と呼ばれます。アクセス制御 (DAC) 方式。SELinux では、プロセスが特定のファイル システム上のファイルまたはディレクトリへのアクセス権を持つかどうかを制御し、プロセスがファイルにアクセスできるかどうかを決定する強制アクセス制御 (MAC) システムが使用されます。ディレクトリの基礎は、SELinux で設定された多くのポリシー ルールに依存します。
そういえば、読者はこれら 2 つのアクセス制御システムの特徴を詳しく理解する必要があります。
-
Discretionary Access Control (DAC) は、 Linux のデフォルトのアクセス制御方法。ユーザーの ID とファイルとディレクトリに対する ID の rwx 権限に基づいてアクセスが可能かどうかを決定します。ただし、DAC アクセス制御の実際の使用にはいくつかの問題も見つかりました:
root 権限が高すぎるため、rwx 権限が root ユーザーに有効になりません。root ユーザーが盗まれたり、 root ユーザー自体 誤操作は Linux システムにとって致命的な脅威です。
Linux のデフォルトの権限は単純すぎます。所有者、所属グループ、その他のユーザーの ID のみが含まれています。権限には、読み取り、書き込み、および実行の権限のみがあります。 、これは権限の細分化と設定に役立ちません。
アクセス許可の不合理な割り当ては、システム内の機密ファイルまたはディレクトリに 777 アクセス許可を設定したり、機密ファイルに特別なアクセス許可 (SetUID アクセス許可など) を設定したりするなど、重大な結果につながります。
- 強制アクセス制御 (MAC) は、SELinux のデフォルトのポリシー ルールを通じて、システム ファイル リソースへの特定のプロセスのアクセスを制御します。つまり、root ユーザーであっても、ファイルリソースにアクセスする際の処理を誤ると、ファイルリソースにアクセスできなくなります。
このように、SELinux はユーザーと権限だけでなくプロセスも制御します。各プロセスがどのファイル リソースにアクセスできるか、および各ファイル リソースがどのプロセスにアクセスできるかは、SELinux ルール ポリシーによって決まります。
SELinux では、Linux のデフォルトの権限が引き続き有効であることに注意してください。つまり、ユーザーがファイルにアクセスできるようにするには、ユーザーの権限が rwx 権限に準拠する必要があります。 、ユーザーはプロセスが SELinux 規制に準拠することも求められます。
しかし、システム内には非常に多くのプロセスやファイルがあり、これらを手動で割り当てて指定すると負荷が大きくなってしまいます。したがって、SELinux には比較的完全なデフォルトのポリシー ルールが多数用意されており、これらのポリシー ルールを表示および管理する方法については後ほど説明します。
読者に SELinux が果たす役割を明確に理解していただくために、ここに例を示します。Apache で脆弱性が発見され、リモート ユーザーがシステムの機密ファイル (/etc など) にアクセスできるようになったとします。 /影の多い)。 Linux で SELinux が有効になっている場合、Apache サービス プロセスには /etc/shadow にアクセスする権限がないため、Apache を介したリモート ユーザーの /etc/shadow ファイルへのアクセスは、Linux を保護する SELinux によってブロックされます。システムの役割。
Selinux を閉じる方法
#查看selinux状态 [root@vm01]# getenforce #临时关闭selinux [root@vm01]# setenforce 0 #永久关闭 [root@vm01]# vi /etc/selinux/config # SELINUX=enforcing改为SELINUX=disabled
関連する推奨事項:「Linux ビデオ チュートリアル 」
以上がSELinuxとはの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7566
15
1386
52
87
11
28
105
CentosとUbuntuの違い
Apr 14, 2025 pm 09:09 PM
Centosとubuntuの重要な違いは次のとおりです。起源(CentosはRed Hat、for Enterprises、UbuntuはDebianに由来します。個人用のDebianに由来します)、パッケージ管理(CentosはYumを使用し、安定性に焦点を当てます。チュートリアルとドキュメント)、使用(Centosはサーバーに偏っています。Ubuntuはサーバーやデスクトップに適しています)、その他の違いにはインストールのシンプルさが含まれます(Centos is Thin)
Dockerデスクトップの使用方法
Apr 15, 2025 am 11:45 AM
Dockerデスクトップの使用方法は? Dockerデスクトップは、ローカルマシンでDockerコンテナを実行するためのツールです。使用する手順には次のものがあります。1。Dockerデスクトップをインストールします。 2。Dockerデスクトップを開始します。 3。Docker Imageを作成します(DockerFileを使用); 4. Docker画像をビルド(Docker Buildを使用); 5。Dockerコンテナを実行します(Docker Runを使用)。
Centosをインストールする方法
Apr 14, 2025 pm 09:03 PM
Centosのインストール手順:ISO画像をダウンロードし、起動可能なメディアを燃やします。起動してインストールソースを選択します。言語とキーボードのレイアウトを選択します。ネットワークを構成します。ハードディスクをパーティション化します。システムクロックを設定します。ルートユーザーを作成します。ソフトウェアパッケージを選択します。インストールを開始します。インストールが完了した後、ハードディスクから再起動して起動します。
メンテナンスを停止した後のCentosの選択
Apr 14, 2025 pm 08:51 PM
Centosは廃止されました、代替品には次のものが含まれます。1。RockyLinux(最高の互換性)。 2。アルマリン(Centosと互換性); 3。Ubuntuサーバー(設定が必要); 4。RedHat Enterprise Linux(コマーシャルバージョン、有料ライセンス); 5。OracleLinux(CentosとRhelと互換性があります)。移行する場合、考慮事項は次のとおりです。互換性、可用性、サポート、コスト、およびコミュニティサポート。
Dockerプロセスを表示する方法
Apr 15, 2025 am 11:48 AM
Dockerプロセス表示方法:1。DockerCLIコマンド:Docker PS; 2。SystemDCLIコマンド:SystemCTL Status Docker; 3。CLIコマンドを作成するDocker:Docker-Compose PS。 4。プロセスエクスプローラー(Windows); 5。 /procディレクトリ(Linux)。
Dockerの原則の詳細な説明
Apr 14, 2025 pm 11:57 PM
DockerはLinuxカーネル機能を使用して、効率的で孤立したアプリケーションランニング環境を提供します。その作業原則は次のとおりです。1。ミラーは、アプリケーションを実行するために必要なすべてを含む読み取り専用テンプレートとして使用されます。 2。ユニオンファイルシステム(UnionFS)は、違いを保存するだけで、スペースを節約し、高速化する複数のファイルシステムをスタックします。 3.デーモンはミラーとコンテナを管理し、クライアントはそれらをインタラクションに使用します。 4。名前空間とcgroupsは、コンテナの分離とリソースの制限を実装します。 5.複数のネットワークモードは、コンテナの相互接続をサポートします。これらのコア概念を理解することによってのみ、Dockerをよりよく利用できます。
Docker画像が失敗した場合はどうすればよいですか
Apr 15, 2025 am 11:21 AM
障害のあるDocker画像ビルドのトラブルシューティング手順:DockerFileの構文と依存関係バージョンを確認します。ビルドコンテキストに必要なソースコードと依存関係が含まれているかどうかを確認します。エラーの詳細については、ビルドログを表示します。 -targetオプションを使用して、階層フェーズを構築して障害点を識別します。 Dockerエンジンの最新バージョンを使用してください。 -t [image-name]:デバッグモードで画像を作成して、問題をデバッグします。ディスクスペースを確認し、十分であることを確認してください。 Selinuxを無効にして、ビルドプロセスへの干渉を防ぎます。コミュニティプラットフォームに助けを求め、DockerFilesを提供し、より具体的な提案のためにログの説明を作成します。
VSCODEに必要なコンピューター構成
Apr 15, 2025 pm 09:48 PM
VSコードシステムの要件:オペレーティングシステム:オペレーティングシステム:Windows 10以降、MACOS 10.12以上、Linux Distributionプロセッサ:最小1.6 GHz、推奨2.0 GHz以上のメモリ:最小512 MB、推奨4 GB以上のストレージスペース:最低250 MB以上:その他の要件を推奨:安定ネットワーク接続、XORG/WAYLAND(Linux)
