SELinux(Security-Enhanced Linux)是由美國國家安全域(NSA)開發的一種強制訪問控制機制,它主要整合在 Linux 內核當中,是針對特定的行程與指定的檔案資源進行權限控制的系統,主要是增強傳統 Linux 作業系統的安全性,并解決傳統 Linux 系統中自主訪問控制(DAC)系統中的各種權限問題(如 root 權限過高等),
注意,root 用戶需要遵守 SELinux 的規則才能正確地訪問系統資源,另外,root 用戶可以修改 SELinux 的規則,也就是說用戶既要符合系統的讀、寫、執行權限,又要符合 SELinux 的規則,才能正確地訪問系統資源,
傳統的 Linux 系統中,默認權限是對檔案或目錄的所有者、所屬組和其他人的讀、寫和執行權限進行控制,這種控制方式稱為自主訪問控制(DAC)方式;而在 SELinux 中,采用的是強制訪問控制(MAC)系統,也就是控制一個行程對具體檔案系統上面的檔案或目錄是否擁有訪問權限,而判斷行程是否可以訪問檔案或目錄的依據,取決于 SELinux 中設定的很多策略規則,
接下來分別介紹這兩種控制方式:
1、自主訪問控制系統(Discretionary Access Control,DAC)
DAC 是 Linux 的默認訪問控制方式,也就是依據用戶的身份和該身份對檔案及目錄的 rwx 權限來判斷是否可以訪問,
但使用該方式通常會遇到以下問題:
- root 權限過高,使用 rwx 權限對 root 用戶并不生效,一旦 root 用戶被竊取或者 root 用戶本身的誤操作,就會對 Linux 系統產生嚴重的安全問題,
- Linux 默認權限過于簡單,只有所有者、所屬組和其他人的身份,權限也只有讀、寫和執行權限,并不利于權限細分與設定,
- 不合理權限的分配會導致嚴重后果,
2、強制訪問控制(Mandatory Access Control,MAC)
MAC 是通過 SELinux 的默認策略規則來控制特定的行程對系統的檔案資源的訪問,也就是說,即使你是 root 用戶,但是當你訪問檔案資源時,如果使用了錯誤的行程,那么也是不能訪問的,
SELinux 的強制訪問控制并不會完全取代自主訪問控制,對于 Linux 系統的安全來說,強制訪問控制是一個額外的安全層,當使用 SELinux 時,自主訪問控制仍然被使用,且會首先被使用,如果允許訪問,則再使用 SELinux 策略;反之,如果自主訪問控制規則拒絕訪問,則就不需要使用 SELinux 策略,
SELinux 的作用如下:
- SELinux 使用被認為是最強大的訪問控制方式,即MAC控制方式,
- SELinux 賦予了用戶或行程最小的訪問權限,也就是說,每個用戶或行程僅被賦予了完成相關任務所必須的一組有限的權限,通過賦予最小訪問權限,可以防止對其他用戶或行程產生不利的影響,
- SELinux 管理程序中,每個行程都有自己的運行區域,各個行程只運行在自己的區域內,無法訪問其他行程和檔案,除非被授予了特殊權限,
SELinux的3種作業模式
SELinux 提供了 3 種作業模式,分別是 Disabled 作業模式、Permissive 作業模式和 Enforcing 作業模式,它們的具體介紹如下:
- Disabled作業模式(關閉模式)
在 Disable 模式中,SELinux 被關閉,使用 DAC 訪問控制方式,該模式對于那些不需要增強安全性的環境來說是非常有用的,
注意,在禁用 SELinux 之前,需要考慮一下是否可能會在系統上再次使用SELinux,如果決定以后將其設定為Enforcing或Permissive,那么當下次重啟系統時,系統將會通過一個自動SELinux檔案重新進行標記,
關閉 SELinux 的方式,只需要編輯組態檔 /etc/seLinux/config,并將文本中“SELINUX=”更改為“SELINUX=disabled”即可,重新啟動系統之后,SELinux 就被禁用了,
- Permissive作業模式(寬容模式)
在 Permissive 模式中,SELinux 被啟用,但安全策略規則并沒有被強制執行,當安全策略規則應該拒絕訪問時,訪問仍然被允許,這時會向日志檔案發送一條該訪問應該被拒絕的訊息,
SELinux Permissive 模式主要用于審核當前的 SELinux 策略規則;它還能用于測驗新應用程式,將 SELinux 策略規則應用到程式時會有什么效果;以及用于解決某一特定服務或應用程式在 SELinux 下不再正常作業的故障,
- Enforcing作業模式(強制模式),
在 Enforcing 模式中,SELinux 被啟動,并強制執行所有的安全策略規則,
? 以上就是良許教程網為各位朋友分享的SELinux詳細說明,
本文由博客一文多發平臺 OpenWrite 發布!
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/253355.html
標籤:其他