Latar Belakang
Seringkali kita sering menjumpai situasi berikut:
koneksi xshell
Izin ditolak
Setelah menyelidiki sepanjang sore, saya selalu mengira itu adalah masalah ssh, lalu saya memeriksa / etc / ssh / sshd_config dan kata sandi akun, tetapi saya masih tidak bisa masuk. Bahkan, Anda melewatkan masalah keamanan selinux.
ikhtisar selinux
Sebelum SELinux muncul, model keamanan di Linux disebut DAC, nama lengkapnya adalah Discretionary Access Control (kontrol akses diskresioner).
Ide inti DAC sangat sederhana, yaitu: secara teoritis suatu proses memiliki izin yang sama dengan pengguna yang mengeksekusinya. Misalnya, jika Anda memulai Browser sebagai pengguna root, maka Browser memiliki otoritas pengguna root dan dapat melakukan apa saja di sistem Linux. Jelas, DAC terlalu lunak, jadi master dari semua lapisan masyarakat harus mencoba yang terbaik untuk mendapatkan izin root pada sistem Android.
Jadi, bagaimana SELinux mengatasi masalah ini? Ternyata itu merancang model keamanan baru di luar DAC, yang disebut MAC (Mandatory Access Control), yang diterjemahkan menjadi kontrol akses wajib. Filosofi MAC sangat sederhana: yaitu, setiap proses yang ingin melakukan apa pun di sistem SELinux harus memberikan izin terlebih dahulu di file konfigurasi kebijakan keamanan. Setiap izin yang tidak muncul di file konfigurasi kebijakan keamanan, prosesnya tidak memiliki izin.
mekanisme operasi selinux
Proses pengambilan keputusan SELinux ditunjukkan pada gambar berikut:
keputusan selinux
Ketika subjek (seperti aplikasi) mencoba mengakses objek (seperti file), server penegakan kebijakan di Kernel akan memeriksa AVC (Access Vector Cache). Di AVC, izin subjek dan objek di-cache. Jika keputusan tidak dapat dibuat berdasarkan data di AVC, server keamanan akan diminta, dan server keamanan mencari lingkungan keamanan "aplikasi + file" dalam matriks. Kemudian akses diizinkan atau ditolak berdasarkan hasil kueri, dan detail pesan yang ditolak terletak di / var / log / messages.
Tutup selinux
Bagi kami pemula, kami tidak memikirkan selinux. Kami lebih peduli tentang cara mematikannya ~
Penutupan sementara:
# setenforce 0 Matikan selinux
# getenforce Melihat status selinux
Tutup permanen
# vim / etc / sysconfig / selinux
SELINUX = menegakkan
Ubah ke SELINUX = dinonaktifkan
Jika Anda pernah mengadu selinux, harap perhatikan itu.
- Saya akan menonton "Painted Skin" sepuluh tahun kemudian, dan jatuh cinta dengan orang lain lagi setelah menikah
- Bitauto dan J.D. Power secara strategis bekerja sama untuk menerapkan fungsi peringkat kendaraan pertama di industri untuk membantu pengguna memilih mobil
- Ini adalah film pendek terbaik untuk Academy Awards, dan tidak ada garis sepanjang keseluruhan proses, yang membuatku merinding.
- Sistem A6 MMI baru secara mendalam: tiga layar dan empat inti, teori evolusi "otak paling kuat" Audi
- Microsoft Surface Headphones Wireless Noise Cancelling Pengalaman Headphone Tur Gambar: Percayalah pada mesin pengharum yang sesungguhnya