Linux强制访问控制MAC

发布时间：2023-01-14 14:57:16 所属栏目：Linux 来源：

导读：　　SELinux 属于MAC的具体实现，增强了Linux系统的安全性。MAC机制的特点在于，资源的拥有者，并不能决定谁可以接入到资源。具体决定是否可以接入到资源linux 强制删除，是基于安全策略。而安全策略则是有一系列的接

　　SELinux 属于MAC的具体实现，增强了Linux系统的安全性。MAC机制的特点在于，资源的拥有者，并不能决定谁可以接入到资源。具体决定是否可以接入到资源linux 强制删除，是基于安全策略。而安全策略则是有一系列的接入规则组成，并仅有特定权限的用户有权限操作安全策略。另一方面，强制访问控制Mandatory Access Control（MAC）基于保密性和完整性强制信息的隔离以限制破坏。该限制单元独立于传统的Linux安全机制运作，并且没有超级用户的概念。SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

　　SELinux三种模式

　　1.Enforcing 强制— SELinux 策略强制执行，基于 SELinux 策略规则授予或拒绝主体对目标的访问。

　　2.Permissive 宽容— SELinux 策略不强制执行，不实际拒绝访问，但会有拒绝信息写入日。

　　3.Disabled 禁用— 完全禁用SELinux

　　SELinux 常用名词

　　1 .主体（Subject）

　　可以完全等同于进程。

　　2. 对象（Object）

　　被主体访问的资源。可以是文件、目录、端口、设备等。

　　3 .政策和规则（Policy & Rule）

　　系统中通常有大量的文件和进程，为了节省时间和开销，通常我们只是选择性地对某些进程进行管制。而哪些进程需要管制、要怎么管制是由政策决定的。一套政策里面有很多个规则。部分规则可以按照需求启用或禁用。

　　4 .安全上下文（Security Context）

　　安全上下文是 SELinux 的核心,分为「进程安全上下文」和「文件安全上下文」。一个「进程安全上下文」一般对应多个「文件安全上下文」。只有两者的安全上下文对应上了，进程才能访问文件。它们的对应关系由政策中的规则决定。

　　文件安全上下文由文件创建的位置和创建文件的进程所决定。而且系统有一套默认值，用户也可以对默认值进行设定。

　　需要注意的是，单纯的移动文件操作并不会改变文件的安全上下文。

（编辑：我爱制作网_池州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

SELinux默认安全上下文	CentOS 替代方案AlmaL
linux中awk命令使用方	Linux中巧用openssl生