Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >SELinux 基本原理

SELinux 基本原理

原创
作者头像
rand_cs
发布于 2024-01-02 12:29:38
发布于 2024-01-02 12:29:38
2150
举报
文章被收录于专栏:计算机学习计算机学习
关联问题
换一批

SELinux 基本原理

本文讲述 SELinux 保护安全的基本原理

安全检查顺序

不废话,直接先来看张图

当我们执行系统调用的时候,会首先对某些错误情况进行检查,如果失败通常会得到一些 error 信息,通过查看全局变量 errno 可以知道到底是哪一类错误

随后进行 DAC 检查,简单理解就是 Linux 里面 rwx 那一套检查逻辑,如果检查失败,通常会得到类似 permission denied 的信息

再之后便会进行 MAC 检查,在这里就是进行 SELinux 的检查,它会根据当前主体和客体的类型,查询策略,检查是否允许当前类型的主体访问客体,检查失败的话,则也是会得到类似 permission denied 的信息

以上检查都通过,则该调用执行成功。

何时检查?

从上图可以知道,是在 LSM Hook 点出执行的 SELinux 检查,大家可能对 LSM 概念比较陌生。LSM 全称 Linux Security Module,但其实并不是一个模块,而是一个安全框架,为安全模块提供的一个安全框架。

Linux 源码目录中有个 security 的目录,其下的子目录比如说 apparmor,selinux 等等就是目前 Linux 支持的一些安全模块。此系列文章主要就是讨论其中的一个安全模块 SELinux。

LSM 框架提供的服务之一就是在内核中的关键处埋下了许多 hook 点,在看内核代码的时候,你应该会经常发现类似 security_xxx 的函数,这就是 LSM Hook 点。

举个例子,经典的调用 open 打开一个文件,其简化版的调用路径如下所示:

代码语言:JavaScript
AI代码解释
复制
open
-------
    sys_open
        do_filp_open
            path_openat
                do_open
                    vfs_open
                        do_dentry_open
                            security_file_open
    error = security_file_open(f);
    if (error)
        goto cleanup_all;

其中 security_file_open 就是 open 系统调用的一个 LSM Hook 点,当执行到此处的时候,它会执行所有挂在此hook点上的安全检查函数,如果 SELinux 使能,那么便会执行 selinux_file_open 函数来检查当前的进程(主体)是否被允许打开文件(客体)。

这一步还不止一个安全检查函数?是的,这取决于当前系统使能了多少个 LSM 安全模块,如果使能了 A,B,C 三个安全模块,那么每到 security_xxx hook 点,便会将 A、B、C 对应的安全检查函数启动顺序全都执行一遍。每一个检查都通过,才算最终通过,如果这一步检查不过,可以看出直接就返回了。

如何检查?

这是 SELinux 在内核中的一个极简的架构图,当需要权限检查的时候,首先去访问 AVC(Access Vector Cache),从名称当中就可以看出它是存放权限访问的一个 cache,如果能从 AVC 里面直接查询到是否允许访问的结果,那么将查询结果返回。

如果 AVC 中没有相关权限访问的结果,则去 Security Server 查找,Security Server 会去查询策略,然后将查询的结果存储到 AVC,再将结果返回。

所以 SELinux 的权限检查主要就是这么一个逻辑哈,我们从头用一个例子来捋一捋,比如说 p_t 类型的 P 进程想要打开 f_t 类型的 F 文件,这期间会进行的安全检查:

  1. 首先检查是否有逻辑错误存在,比如说 F 文件不存在?
  2. 然后进行 DAC 检查,当前进程有效id和文件属主id比较等等操作
  3. 进入 security_file_open 这个 LSM hook 点,执行每一个使能的安全模块对应的 xxx_file_open 函数,来进行安全检查。
    1. 执行 selinux_file_open 函数来执行 SELinux 权限检查
    2. 首先查找 AVC,查询 p_t 对 f_t 类型的文件是否有 open 权限,如果 AVC 中有记录,将结果返回
    3. 如果 AVC 中没有记录,Security Server 查询策略库,将查询结果写到 AVC,然后将结果返回

以上检查都通过,基本上 open 系统调用就成功了,如果第一步失败,则可以从 errno 找到错误原因,如果后面的 DAC 和 MAC 权限检查失败,通常则会出现 permission denied 的提示

好了,本文就先到这里,有什么问题欢迎来讨论交流

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

linux

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

linux
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
编辑精选文章
换一批
万字详解高可用架构设计
2081
Go 开发者必备:Protocol Buffers 入门指南
1187
10分钟带你彻底搞懂分布式链路跟踪
719
多租户的 4 种常用方案
1501
亿级月活的社交 APP,陌陌如何做到 3 分钟定位故障?
1107
60页PPT全解:DeepSeek系列论文技术要点整理
2052
SELinux 安全模型——TE
linux
通过前面的示例策略,大家对 SELinux 应该有那么点感觉认识了,从这篇开始的三篇文章讲述 SELinux 的三种安全模型,会涉及一些代码,旨在叙述 SELinux 内部的原理
rand_cs
2024/01/02
4060
android 8.1 安全机制 — SEAndroid & SELinux
linuxaccessandroid
在 SELinux 出现之前,Linux 上的安全模型叫 DAC,全称是 Discretionary Access Control,翻译为自主访问控制。
233333
2020/05/26
1.1K0
S006SELinux(SEAndroid)是个什么呀
linuxandroid安全nataccess
SEAndroid 是一套安全机制,实现的主要目的是为了是Android系统更安全。 SELinux是被设计为一个灵活的可配置的MAC机制。 SEAndroid 是将SELinux 移植到Android 上的产物,可以看成SELinux 辅以一套适用于Android 的策略。
上善若水.夏
2018/09/28
9830
靠谱的SeLinux强制访问控制技术
安全对象接口进程内核
SeLinux全称为安全增强式 Security-Enhanced Linux(SeLinux),是一个在内核的强制存取控制(MAC)安全性机制。SeLinux的整体架构和原理都比较简单,使用也不复杂,其复杂的地方在于规则非常复杂,每个进程都要有规则策略;
呱牛笔记
2023/05/02
1.2K0
靠谱的SeLinux强制访问控制技术
Android/Linux Root 的那些事儿
访问管理linuxunixandroidaccess
玩过安卓的朋友应该都对 root 这个名词不陌生,曾几何时,一台 root 过的手机是发烧友标配;对于开发者来说,root 后的手机是黑灰产外挂的温床,是想要极力避免和打击的目标;而对于安全研究人员来说,root 则意味着更多 —— Towelroot、PingPongRoot、DirtyC0w、ReVent,那些有趣的漏洞和精妙的利用,承载了不少的汗水和回忆。
evilpan
2023/02/12
9820
Android SELinux权限概念和配置说明
androidmakefile
SELinux按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。SELinux可按两种全局模式运行:
wizzie
2022/11/21
10.6K0
Android SELinux权限概念和配置说明
SELINUX工作原理
linux安全
Security-Enhanced Linux (SELinux)由以下两部分组成:
用户5807183
2019/08/06
2.7K0
LSM一瞥
linux安全
我猜,你读这篇文章,说明你已经对Linux安全模块(LSM)有所了解。如果你使用过SELinux或AppArmor,其实就已经用过LSM了。甚至,在你使用的Linux发行版本或Android系统之上,也使用了LSM。
Tupelo
2022/12/20
1.3K0
LSM一瞥
SELinux的基本使用
ftpssh访问管理linuxcentos
从进入了 CentOS 5.x 之后的 CentOS 版本中 (当然包括 CentOS 7),SELinux 已经是个非常完备的核心模块了!尤其 CentOS 提供了很多管理 SELinux 的指令与机制,因此在整体架构上面是单纯且容易操作管理的!所以,在没有自行开发网络服务软件以及使用其他第三方协力软件的情况下,也就是全部使用 CentOS 官方提供的软件来使用我们服务器的情况下,建议大家不要关闭 SELinux ! 让我们来仔细的玩玩这家伙吧!
小柒吃地瓜
2020/04/23
3K0
Android SELinux avc dennied权限问题解决方法
kernellinux打包
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。
用户7557625
2020/07/15
8.4K0
android之SELinux小记
linuxandroidaccessapache
SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
李小白是一只喵
2020/04/23
2.5K0
android之SELinux小记
SELinux之解决avc denied
androidlinux
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC.
菜菜cc
2022/11/15
3.8K0
安全利器 — SELinux
linux网络安全
在 Linux 系统中一切皆文件,资源也属于某种文件。用户在访问文件的时候,系统对权限(读、写 、执行)进行检查。只要用户对文件有足够的权限,就可以任意操作资源。root 用户对所有资源拥有所有权限,是个危险的存在。每年都会看到某职员一不小心把系统“干趴下”的新闻。这种权限管理的主体是用户,被称为 Discretionary Access Control ,DAC ,自主访问控制。
天存信息
2021/06/08
1.3K0
安全利器 — SELinux
BLP 模型
linux
D. Elliott Bell 和 Leonard J. LaPadula 在 1996 年提出了基本的 BLP 模型,主要有两个性质:
rand_cs
2024/01/02
3220
Linux Security Module逆向分析实战
linux编程算法
本文记录了对某发行版Linux中一个安全模块(LSM)的逆向过程,该LSM对系统中待运行的程序进行安全校验,数据流穿越内核态与用户态,涉及系统内核及系统服务。此LSM对系统安全性的增强效果明显,其设计思路值得防守方研究学习,可于个人终端或服务器安全防护中应用。特此对逆向内容记录,希望能为读者在终端防护方面拓宽思路,同时欢迎感兴趣的师傅们交流学习。
FB客服
2021/10/11
2.1K0
正确姿势临时和永久开启关闭Android的SELinux
linuxandroidhttps网络安全java
   自从Android 4.4强制开启SELinux以后,在开发中我们经常会遇到avc denied的问题,为了方便开发调试我们会将SELinux关闭,那么本章将带领读者怎么临时和永久关闭Android的SELinux。
全栈程序员站长
2022/09/14
7.5K0
SELinux入门学习总结
linux安全grep
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
小陈运维
2021/10/13
1.1K0
Android R setenforce 实现[通俗易懂]
kernelnode.jsandroid
这里关键执行 SetupSelinux 调用,函数在 system/core/init/selinux.cpp 类中,这个类主要是初始化的 SELinux 操作。
全栈程序员站长
2022/09/14
5710
吐槽一下开源鸿蒙系统
开源linuxkernel打包
最近一直在研究开源鸿蒙系统,但碰到一个问题,卡壳了,弄得我茶不思饭不想。在上一篇文章鸿蒙系统研究之四:根文件系统中,碰到一个难题:
云水木石
2021/07/14
1.6K0
操作系统级防护方法
数据分析idelinux虚拟化tcp/ip
运行在单核下, 单操作系统上运行多个虚拟服务;服务提供者可以利用较低的代价提供主机服务。
hotarugali
2022/03/01
1.7K0
操作系统级防护方法
推荐阅读
编辑精选文章
万字详解高可用架构设计Go 开发者必备:Protocol Buffers 入门指南10分钟带你彻底搞懂分布式链路跟踪
相关讨论
SElinux开启后,ssh远程登录不上?sshd服务开启防火墙和selinux都关了远程不上?
相关课程
云原生降本增效实战营低代码实战营Vite学习指南-基于腾讯云Webify部署项目
SELinux 安全模型——TE
4060
android 8.1 安全机制 — SEAndroid & SELinux
1.1K0
S006SELinux(SEAndroid)是个什么呀
9830
靠谱的SeLinux强制访问控制技术
1.2K0
Android/Linux Root 的那些事儿
9820
Android SELinux权限概念和配置说明
10.6K0
SELINUX工作原理
2.7K0
LSM一瞥
1.3K0
SELinux的基本使用
3K0
Android SELinux avc dennied权限问题解决方法
8.4K0
android之SELinux小记
2.5K0
SELinux之解决avc denied
3.8K0
安全利器 — SELinux
1.3K0
BLP 模型
3220
Linux Security Module逆向分析实战
2.1K0
正确姿势临时和永久开启关闭Android的SELinux
7.5K0
SELinux入门学习总结
1.1K0
Android R setenforce 实现[通俗易懂]
5710
吐槽一下开源鸿蒙系统
1.6K0
操作系统级防护方法
1.7K0
相关推荐
SELinux 安全模型——TE
更多 >
rand_cs0
LV.3
这个人很懒,什么都没有留下~
文章
39
获赞
39
专栏
1
作者相关精选
换一批
加入讨论
的问答专区 >
程序员晚枫
1宣传大使擅长3个领域
相关课程
一站式学习中心 >
云原生降本增效实战营
269人在学
容器
容器服务
低代码实战营
266人在学
微搭低代码
Vite学习指南-基于腾讯云Webify部署项目
135人在学
vite
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论