SELinux是一种强制访问控制机制,用于增强Linux系统的安全性。它通过安全标签限制进程访问资源,提供比传统DAC更细粒度的权限管理。工作级别包括strict、targeted和minimum,状态可设置为enforcing或permissive。SELinux使用安全策略定义哪些域可以访问特定类型的文件,并通过布尔型规则调整功能。常用命令包括getenforce、setenforce、chcon和getsebool。
简介
- SELinux: Secure Enhanced Linux,工作于Linux内核中
- DAC:自主访问控制 【Linux自身的访问机制】
- 以tom用户,去访问text.txt文件,则该进程,就拥有tom用户权限,对mysql.cof,redix.cof文件的权限,及该进程,就能访问到tom权限内的所有文件
- 这种方式:违反最小权限法则【及:一个进程启动起来,需要访问5个资源,则就最多只能访问这5个资源权限】【SELinux就是解决这个问题的】
- MAC:强制访问机制【SELinux使用的访问机制】
- 例子:以tom的用户启动进程去 打开test.txt文件,有三种的打开情况【及安全上下文】
- 一、文件的属主等于tom用户启动进程的属主,则以文件属主的权限去运行该文件
- 二、文件的属组包含tom用户启动进程属主,则以文件属组的权限去运行该文件
- 三、以其他用户权限去运行该文件
- sandbox:沙箱机制;启动进程后,该进程在一个虚拟环境中(沙箱)运行,即便脱离的控制,也只能访问该沙箱内的资源
- subject operation object 【主题操作对象】
- subject: 进程【domain:域】
- subject operation object 【主题操作对象】
- 例子:以tom的用户启动进程去 打开test.txt文件,有三种的打开情况【及安全上下文】
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
