如何创建自定义SELinux标签

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了如何创建自定义SELinux标签，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2880字，纯文字阅读大概需要5分钟。

内容图文

我写了一个服务/单个二进制应用程序,我试图在Fedora 24上运行,它运行使用systemd,二进制文件部署到/ srv / bot

我编写的这个服务/应用程序需要在此目录中创建/打开/读取和重命名文件.

我首先开始创建一个基于SELinux: allow a process to create any file in a certain directory的新策略

但是当我的应用程序需要重命名时,输出有一个警告：

#!!!! WARNING: 'var_t' is a base type.
allow init_t var_t:file rename;

我google了一下,我发现我应该使用比基本类型更具体的SELinux标签,但在线的所有示例都显示了httpd / nginx / etc中的现有标签.

有没有办法可以为我自己的应用创建自定义标签？

我的想法是创建类似myapp_var_t的东西,使用

semanage fcontext -a -t my_app_var_t '/srv/bot(/.*)?'
restorecon -R -v /srv/bot

以及将使用此自定义类型的自定义.pp文件

如果有更好的方法来解决它,那也是有效的.

谢谢

更新

经过更多的搜索后,我认为我想要做的正确的术语是创造新的类型,这导致我
https://docs.fedoraproject.org/en-US/Fedora/13/html/SELinux_FAQ/index.html#id3036916

基本上说,跑

sepolgen /path/to/binary

我能够得到一个模板,然后我可以编译成一个pp文件并加载,仍然会得到一些错误,但看起来我更接近我想做的事情.

如果我让它工作,我会更新这篇文章

解决方法:

以跑步为出发点

sepolgen /path/to/binary

这给你：

app.fc
app.sh
app.if
app.spec
app.te

要创建一个新的SELinux文件上下文以应用于保存程序/守护程序将修改的文件的父目录,您可以编辑app.te文件并添加：

type app_var_t;
files_type(app_var_t)

第一行声明了新类型,第二行调用了一个执行魔术并使其成为文件类型的宏(原来你不能在文件或目录上使用进程上下文行app_exec_t),有关不同的更多信息,请参阅“SELinux Types Revisited”类型

一旦声明了类型,你需要告诉SELinux你的应用程序可以使用它,在我添加的情况下

allow app_t app_var_t:dir { add_name remove_name write search};
allow app_t app_var_t:file { unlink create open rename write read };

这两行基本上说,允许作为我的应用程序域的app_t类型,使用上下文app_var_t编写/搜索/ etc目录,并允许它使用上下文app_var_t创建/打开/删除/ etc文件

拼图的最后一部分是以某种方式告诉SELinux哪个文件夹和文件应该获得每种类型,你通过编辑app.fc文件(fc =>文件上下文)来做到这一点

在我的情况下,这个文件只有两行：

/srv/bot/app        --  gen_context(system_u:object_r:app_exec_t,s0)
/srv/bot(/.*)?          gen_context(system_u:object_r:app_var_t,s0)

第一行直接指向我在服务器上部署的二进制文件,因此这个获取app_exec_t上下文.

第二行意味着：

Apply app_var_t to the directory /srv/bot and also to all files inside the dir /srv/bot

注意第一行如何 – 在路径和gen_context调用之间. – 表示,仅适用于文件.在第二种情况下,我们没有任何东西(只是空格),这意味着,适用于所有匹配的目录和文件,这是我想要的,另一种选择是-d只应用目录.

我现在有一个工作策略,我可以使用自定义策略部署我的应用程序,一切正常. (我的策略在.te文件中有很多条目,但它超出了这个问题的范围.)

额外的阅读材料帮助我找到了这个解决方案：

Making things easier with sepolgen

Think before you just blindly audit2allow -M mydomain

SELinux FOR RED HAT DEVELOPERS(长PDF)

An SElinux module (1): types and rules

Sample policy (specially the postgresql)

Understanding the File Contexts Files

内容总结

以上是互联网集市为您收集整理的如何创建自定义SELinux标签全部内容，希望文章能够帮你解决如何创建自定义SELinux标签所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/957985.html

来源：【匿名】

【上一篇】linux – 如何确定btrfs上的文件是否为copy-on-write？【下一篇】Linux下安装GD

更多 ►

【如何创建自定义SELinux标签】教程文章相关的互联网学习教程文章

一、SELinux简介SELinux(Secure Enhanced Linux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。SELinux是一个安全体系结构，它通过LSM(LinuxSecurity Modules)框架被集成到Linux Kernel 2.6.x中。因为SELinux是内核级别的，所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。二、SELinux基本概念我们知道...

Linux优化之关闭SELinux【图】

selinux简介SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。因为要对强制访问进行控制，所以这个功能让系统管理员又爱又恨，一大多数生产环境都是把他关闭，安全问题会通过其他手段来实现。SELinux配置文件路径在 /etc/selinux/config。其文件内容如下：# This file controls the state of SELinux on the system.# SELINUX= can take one of these three...

Linux关闭防火墙、SELinux

使用root权限：Linux关闭防火墙： 1. chkconfig –list|grep iptables 2. chkconfig iptables off 永久关闭防火墙 3. chkconfig iptables on 永久开启防火墙关闭SELinux：编辑/etc/sysconfig/selinux文件设置：SELINUX=disabled原文：http://www.cnblogs.com/liufei-yes/p/5068714.html

1.9-selinux介绍

/etc/selinux/config 配置文件路径selinux三种状态： enforcing 完全开启 permissive 开启，不阻拦，只是记录到日志 disabled 禁用getenforce 获取当前selinux的开启状态setenforce 0 临时关闭，即permissive模式setenforce 1 设置selinux为enforcing模式如果没有getenforce或setenforce命令，需要安装软件包 libselinux 原文：http://llzdwyp.blog.51cto...

Centos7 关闭SELINUX【图】

关闭SELINUXvi /etc/selinux/config修改 SELINUX=disabled 命令修改：sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/‘ /etc/selinux/config重启reboot查看状态sestatus原文：http://blog.51cto.com/zhizhimao/2352450

selinux

root@lujie ~]# vim /etc/sysconfig/selinux# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.#SELINUX=enforcing# SELINUXTYPE= can take one of these two values:# targeted - Targeted pr...

关闭selinux功能【代码】

关闭selinux的功能1. 首先查看下selinux的状态，命令：getenforce[root@rsync ~]# getenforce Disabled2. 查看selinux的配置文件，命令：cat /etc/selinux/config# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELi...

centos6 下查看SELinux状态关闭SELinux

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上。虽然SELinux很好用，但是在多数情况我们还是将其关闭，因为在不了解其机制的情况下使用SELinux会导致软件安装或者应用部署失败。以下就是关闭SELinux的方法系统版本：ce...

selinux详解及配置文件【代码】

selinux详解selinux 的全称是Security Enhance Linux，就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务；如果某个文件设为777，那么任何用户都可以访问甚至删除。这种方式称为DAC（主动访问机制），很不安全。DAC自主访问控制：用户根据自己的文件权限来决定对文件的操作，也就是依据文件的own，group，other/r,w,x 权限进行限制。Root有最高权限无法限制。r，w，x权限划分太粗糙。无法针对不同的进程...

centos关闭selinux和配置自动ip，以及ifconfig命令不能使用解决办法

1、关闭selinuxsetenforce 0vim /etc/selinux/configSELINUX=disabled保存退出2、开启自动获取ipvim /etc/sysconfig/network-scripts/ifcfg-ens32ONBOOT=yes保存退出systemctl restart network3、ifconfig命令不能使用解决办法yum install net-tools -y原文：https://www.cnblogs.com/fyiyy/p/15018107.html

selinux 和iptables关闭

如果没有安装成功：selinux 没有关闭vi /etc/sysconfig/selinuxSELINUX=disabled防火墙是否开启关闭防火墙[root@localhost ~]# /etc/init.d/iptables stop 关闭防火墙iptables: Setting chains to policy ACCEPT: filter [ OK ]iptables: Flushing firewall rules: [ OK ]iptables: Unloading modules: [ OK ][root@localhost ~]# /etc/init.d/iptables status 查看防火墙的状态iptables: Firewall is no...

第十七章、程序管理与 SELinux 初探【代码】

---恢复内容开始---什么是程序 (process)在 Linux 底下所有的命令与你能够进行的动作都与权限有关，而系统依据UID/GID以及文件的属性相关性判定你的权限！在 Linux 系统当中：『触发任何一个事件时，系统都会将他定义成为一个程序，并且给予这个程序一个 ID ，称为 PID，同时依据启发这个程序的使用者与相关属性关系，给予这个 PID 一组有效的权限配置。』从此以后，这个 PID 能够在系统上面进行的动作，就与这个 PID 的权限有关了...

selinux简介【代码】【图】

selinux（Security-Enhanced Linux）是一个在内核中实践的强制访问控制（MAC）安全性机制，目的在于明确的指明某个进程可以访问哪些类型的资源。开启selinux后，内核在执行系统调用前会询问 SELinux 是否获得了执行操作的授权一、DAC（自主式访问控制）的缺陷 DAC（自主式访问控制，linux的标准访问控制方式）是根据程序的拥有者/属组与文件资源的 rwx 权限来决定有无存取的能力，它的缺点就是不能识别拥有者和程序之间的区别。如...

Linux系统管理——SELinux使用与管理【代码】【图】

1、selinux背景SELinux: Secure Enhanced Linux。它是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的 Linux的一个强制访问控制的安全模块。 2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中。1.1、MAC selinux基于MAC实现访问控制，所有更安全。与传统的访问控制不同；即DAC：Discretionary Access Control自由访问控制。 MAC：Mandatory Access Control 强制访问控制；...

[转]Apache 监听端口失败，selinux惹的祸

原文在此CentOS 下启动Httpd 失败，报 (13)Permission denied: make_sock: could not bind to address [::]:8000 因为小于1024 的端口只能是ROOT占用，但8000已经大于这个数值。 Google 一下，发现原来是 SELinux 安全机制的作用。查看一下预定义 #semanage port -l http_cache_port_t tcp 3128, 8080, 8118, 11211, 10001-10010http_cache_port_t udp 3130, 11211http_port_t ...

LINUX - 最热教程

Xrdp - 通过Windows的RDP连接Linux远程...VMware中Linux虚拟机挂载主机共享文件夹...Linux双网卡配置虚拟机下Linux安装好Nginx后，宿主机无...linux下安装postgresql并配置远程图形桌...Linux命令--exportfs命令详解 linux 终端printf打印显示乱码问题修正 Linux下Shell的for循环语句N种写法 Linux下创建nginx脚本-start、stop、re...SUSELinux安装MySQL

首页 / LINUX / 如何创建自定义SELinux标签

如何创建自定义SELinux标签

内容导读

内容图文

内容总结

内容备注

内容手机端

【如何创建自定义SELinux标签】教程文章相关的互联网学习教程文章

Linux selinux 基础【代码】【图】

Linux优化之关闭SELinux【图】

Linux关闭防火墙、SELinux

1.9-selinux介绍

Centos7 关闭SELINUX【图】

selinux

关闭selinux功能【代码】

centos6 下查看SELinux状态关闭SELinux

selinux详解及配置文件【代码】

centos关闭selinux和配置自动ip，以及ifconfig命令不能使用解决办法

selinux 和iptables关闭

第十七章、程序管理与 SELinux 初探【代码】

selinux简介【代码】【图】

Linux系统管理——SELinux使用与管理【代码】【图】

[转]Apache 监听端口失败，selinux惹的祸

LINUX - 相关标签

自定义 - 相关标签

LINUX - 最新教程

LINUX - 最热教程