SELinux由NSA發(fā)布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究團(tuán)隊都為SELinux的發(fā)展做出了重要的貢獻(xiàn)。
SELinux本質(zhì)是一個Linux內(nèi)核安全模塊,可在Linux系統(tǒng)中配置其狀態(tài)。SELinux的狀態(tài)分為3種,即disabled、permissive和enforcing。
?(1)disabled狀態(tài):指在Linux系統(tǒng)中不啟用SELinux模塊的功能。
?(2)permissive狀態(tài):指在Linux系統(tǒng)中,SELinux模塊處于Debug模式,若操作違反策略系統(tǒng)將對違反內(nèi)容進(jìn)行記錄,但不影響后續(xù)操作。
?(3)enforcing狀態(tài):指在Linux系統(tǒng)中,SELinux模塊有效,若操作違反策略,SELinux模塊將無法繼續(xù)工作。
SELinux涉及的重要概念如下。
(1)主體
主體是訪問操作的發(fā)起者,是系統(tǒng)中信息流的啟動者。主體通常指用戶或代表用戶意圖的進(jìn)程。
通常,主體是訪問的發(fā)起者,但有時也會成為訪問或受控的對象。
一個主體可以向另一個主體授權(quán),一個進(jìn)程可能會控制幾個子進(jìn)程,這時受控的主體或子進(jìn)程就是一種客體。
(2)客體
客體相對主體而存在,通常客體是指信息的載體或從其他主體或客體接收信息的實(shí)體,即訪問對象。
(3)訪問控制分類
管理方式的不同形成不同的訪問控制方式。
通常,訪問控制方式分為兩類:自主訪問控制(DAC, Discretionary Access Control)和強(qiáng)制訪問控制(MAC, Mandatory Access Control)。
(4)域
域決定了系統(tǒng)中進(jìn)程的訪問,所有進(jìn)程都在域中運(yùn)行。本質(zhì)上,域是一個進(jìn)程允許的操作列表,決定了一個進(jìn)程可以對哪些類型進(jìn)行操作。SELinux中域的概念相當(dāng)于標(biāo)準(zhǔn)Linux中uid的概念。
(5)類型
類型與域的概念基本相似,但是,域是相對進(jìn)程主體的概念,類型是相對目錄、文件等客體的概念。類型分配給一個客體,并決定哪個主體可以訪問該客體。
(6)角色
角色決定了可以使用哪些域。具體哪些角色可以使用哪些域,需要在策略配置文件中預(yù)先定義。如果在策略配置文件中定義了某個角色不可以使用某個域,在實(shí)際使用中將會被拒絕。
(7)身份
身份屬于安全上下文的一部分,身份決定了本質(zhì)上可以執(zhí)行哪個域。
(8)安全上下文
安全上下文是對操作涉及的所有部分的屬性描述,包括身份、角色、域、類型。
(9)策略
策略是規(guī)則的集合,是可以設(shè)置的規(guī)則。
策略決定一個角色的用戶可以訪問什么,哪個角色可以進(jìn)入哪個域,哪個域可以訪問哪個類型等。
-
模塊
+關(guān)注
關(guān)注
7文章
2716瀏覽量
47536 -
Linux
+關(guān)注
關(guān)注
87文章
11312瀏覽量
209738 -
系統(tǒng)
+關(guān)注
關(guān)注
1文章
1017瀏覽量
21367
發(fā)布評論請先 登錄
相關(guān)推薦
評論