SELinux由NSA發布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究團隊都為SELinux的發展做出了重要的貢獻。
SELinux本質是一個Linux內核安全模塊,可在Linux系統中配置其狀態。SELinux的狀態分為3種,即disabled、permissive和enforcing。
?(1)disabled狀態:指在Linux系統中不啟用SELinux模塊的功能。
?(2)permissive狀態:指在Linux系統中,SELinux模塊處于Debug模式,若操作違反策略系統將對違反內容進行記錄,但不影響后續操作。
?(3)enforcing狀態:指在Linux系統中,SELinux模塊有效,若操作違反策略,SELinux模塊將無法繼續工作。
SELinux涉及的重要概念如下。
(1)主體
主體是訪問操作的發起者,是系統中信息流的啟動者。主體通常指用戶或代表用戶意圖的進程。
通常,主體是訪問的發起者,但有時也會成為訪問或受控的對象。
一個主體可以向另一個主體授權,一個進程可能會控制幾個子進程,這時受控的主體或子進程就是一種客體。
(2)客體
客體相對主體而存在,通常客體是指信息的載體或從其他主體或客體接收信息的實體,即訪問對象。
(3)訪問控制分類
管理方式的不同形成不同的訪問控制方式。
通常,訪問控制方式分為兩類:自主訪問控制(DAC, Discretionary Access Control)和強制訪問控制(MAC, Mandatory Access Control)。
(4)域
域決定了系統中進程的訪問,所有進程都在域中運行。本質上,域是一個進程允許的操作列表,決定了一個進程可以對哪些類型進行操作。SELinux中域的概念相當于標準Linux中uid的概念。
(5)類型
類型與域的概念基本相似,但是,域是相對進程主體的概念,類型是相對目錄、文件等客體的概念。類型分配給一個客體,并決定哪個主體可以訪問該客體。
(6)角色
角色決定了可以使用哪些域。具體哪些角色可以使用哪些域,需要在策略配置文件中預先定義。如果在策略配置文件中定義了某個角色不可以使用某個域,在實際使用中將會被拒絕。
(7)身份
身份屬于安全上下文的一部分,身份決定了本質上可以執行哪個域。
(8)安全上下文
安全上下文是對操作涉及的所有部分的屬性描述,包括身份、角色、域、類型。
(9)策略
策略是規則的集合,是可以設置的規則。
策略決定一個角色的用戶可以訪問什么,哪個角色可以進入哪個域,哪個域可以訪問哪個類型等。
-
模塊
+關注
關注
7文章
2714瀏覽量
47499 -
Linux
+關注
關注
87文章
11310瀏覽量
209598 -
系統
+關注
關注
1文章
1017瀏覽量
21358
發布評論請先 登錄
相關推薦
評論