SELINUX工作原理詳解-創(chuàng)新互聯(lián)

1. 簡介

創(chuàng)新互聯(lián)成立以來不斷整合自身及行業(yè)資源、不斷突破觀念以使企業(yè)策略得到完善和成熟，建立了一套“以技術(shù)為基點，以客戶需求中心、市場為導向”的快速反應(yīng)體系。對公司的主營項目，如中高端企業(yè)網(wǎng)站企劃 / 設(shè)計、行業(yè) / 企業(yè)門戶設(shè)計推廣、行業(yè)門戶平臺運營、app軟件開發(fā)、手機網(wǎng)站開發(fā)、微信網(wǎng)站制作、軟件開發(fā)、西信服務(wù)器托管等實行標準化操作，讓客戶可以直觀的預(yù)知到從創(chuàng)新互聯(lián)可以獲得的服務(wù)效果。

SELinux帶給Linux的主要價值是：提供了一個靈活的，可配置的MAC機制。

    Security-Enhanced Linux (SELinux)由以下兩部分組成：

    1) Kernel SELinux模塊(/kernel/security/selinux)

    2) 用戶態(tài)工具

    SELinux是一個安全體系結(jié)構(gòu)，它通過LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中。它是NSA (United States National Security Agency)和SELinux社區(qū)的聯(lián)合項目。

SELinux提供了一種靈活的強制訪問控制(MAC)系統(tǒng)，且內(nèi)嵌于Linux Kernel中。SELinux定義了系統(tǒng)中每個【用戶】、【進程】、【應(yīng)用】和【文件】的訪問和轉(zhuǎn)變的權(quán)限，然后它使用一個安全策略來控制這些實體(用戶、進程、應(yīng)用和文件)之間的交互，安全策略指定如何嚴格或?qū)捤傻剡M行檢查。

    SELinux對系統(tǒng)用戶(system users)是透明的，只有系統(tǒng)管理員需要考慮在他的服務(wù)器中如何制定嚴格的策略。策略可以根據(jù)需要是嚴格的或?qū)捤傻摹?/p>

只有同時滿足了【標準Linux訪問控制】和【SELinux訪問控制】時，主體才能訪問客體。

1.1 DAC與MAC的關(guān)鍵區(qū)別(root用戶)

      安 全增強型Linux(SELinux)開始是由NSA（國家安全局）啟動并加入到Linux系統(tǒng)中的一套核心組件及用戶工具，可以讓應(yīng)用程序運行在其所需的最低權(quán)限上。未 經(jīng)修改過的Linux系統(tǒng)是使用自主訪問控制的，用戶可以自己請求更高的權(quán)限，由此惡意軟件幾乎可以訪問任何它想訪問的文件，而如果你授予其root權(quán) 限，那它就無所不能了。

      在SELinux中沒有root這個概念，安全策略是由管理員來定義的，任何軟件都無法取代它。這意味著那些潛在的惡意軟件所能造成的損害可以被控制在最小。一般情況下只有非常注重數(shù)據(jù)安全的企業(yè)級用戶才會使用SELinux。

操作系統(tǒng)有兩類訪問控制：自主訪問控制（DAC）和強制訪問控制（MAC）。標準Linux安全是一種DAC，SELinux為Linux增加了一個靈活的和可配置的的MAC。

      所有DAC機制都有一個共同的弱點，就是它們不能識別自然人與計算機程序之間最基本的區(qū)別。簡單點說就是，如果一個用戶被授權(quán)允許訪問，意味著程序也被授權(quán)訪問，如果程序被授權(quán)訪問，那么惡意程序也將有同樣的訪問權(quán)。 DAC最根本的弱點是主體容易受到多種多樣的惡意軟件的攻擊，MAC就是避免這些攻擊的出路，大多數(shù)MAC特性組成了多層安全模型。

SELinux實現(xiàn)了一個更靈活的MAC形式，叫做類型強制(Type Enforcement)和一個非強制的多層安全形式(Multi-Level Security)。

      在Android4.2中，SELinux是個可選項，谷歌并沒有直接取消root權(quán)限或其他功能。這是一個為企業(yè)級用戶或是對隱私數(shù)據(jù)極為重視的用戶提供的選項，普通消費者則完全可以關(guān)閉它。 

2. SELinux的運行機制

    SELinux決策過程如下圖所示：

      當一個subject(如: 一個應(yīng)用)試圖訪問一個object(如：一個文件)，Kernel中的策略執(zhí)行服務(wù)器將檢查AVC (Access Vector Cache), 在AVC中，subject和object的權(quán)限被緩存(cached)。如果基于AVC中的數(shù)據(jù)不能做出決定，則請求安全服務(wù)器，安全服務(wù)器在一個矩陣中查找“應(yīng)用+文件”的安全環(huán)境。然后根據(jù)查詢結(jié)果允許或拒絕訪問，拒絕消息細節(jié)位于/var/log/messages中。

3. SELinux偽文件系統(tǒng)

/selinux/偽文件系統(tǒng)kernel子系統(tǒng)通常使用的命令，它類似于/proc/偽文件系統(tǒng)。系統(tǒng)管理員和用戶不需要操作這部分。/selinux/目錄舉例如下：

-rw-rw-rw- 1 root root 0 Sep 22 13:14 access 
dr-xr-xr-x 1 root root 0 Sep 22 13:14 booleans 
--w------- 1 root root 0 Sep 22 13:14 commit_pending_bools 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 context 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 create 
--w------- 1 root root 0 Sep 22 13:14 disable 
-rw-r--r-- 1 root root 0 Sep 22 13:14 enforce 
-rw------- 1 root root 0 Sep 22 13:14 load 
-r--r--r-- 1 root root 0 Sep 22 13:14 mls 
-r--r--r-- 1 root root 0 Sep 22 13:14 policyvers 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 relabel 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 user 

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站名稱：SELINUX工作原理詳解-創(chuàng)新互聯(lián)
網(wǎng)頁網(wǎng)址：http://bm7419.com/article28/ggcjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計公司、全網(wǎng)營銷推廣、網(wǎng)站改版、App設(shè)計、服務(wù)器托管、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)