首頁 > linux教程 > SELinux管理 閱讀:0更新時間:2020-03-28 01:08:13

SELinux Targeted、MLS和Minimum策略

對于 SElinux 來說,所選擇的策略類型直接決定了使用哪種策略規則來執行主體(進程)可以訪問的目標(文件或目錄資源)。不僅如此,策略類型還決定需要哪些特定的安全上下文屬性。通過策略類型,讀者可以更精確地了解 SELinux 所實現的訪問控制。

SELinux 提供 3 種不同的策略可供選擇,分別是 Targeted、MLS 以及 MiNimum。每個策略分別實現了可滿足不同需求的訪問控制,因此,為了正確地選擇一個滿足特定安全需求的策略,就不得不先了解這些策略類型。

Target 策略

Target 策略主要對系統中的服務進程進程訪問控制,同時,它還可以限制其他進程和用戶。服務進程都被放入沙盒,在此環境中,服務進程會被嚴格限制,以便使通過此類進程所引發的惡意攻擊不會影響到其他服務或 Linux 系統。

沙盒(sandbox)是一種環境,在此環境中的進程可以運行,但對其他進程或資源的訪問會被嚴格控制。換句話說,位于沙盒中的各個進程,都只是運行在自己的域(進程所運行的區域被稱為“域”)內,它們無法訪問其他進程或資源(除非被授予特殊的權限)。

通過使用此策略,可以更加安全地共享打印服務器、文件服務器、Web 服務器或其他服務,同時降低因訪問這些服務而對系統中其他資源造成不利影響的風險。

MLS 策略

MLS,是 Multi-Level Security 的縮寫,該策略會對系統中的所有進程進行控制。啟用 MLS 之后,用戶即便執行最簡單的指令(如 ls),都會報錯。

Minimum 策略

Minimum 策略的意思是“最小限制”,該策略最初是針對低內存計算機或者設備(比如智能手機)而創建的。

從本質上來說,Minimun 和 Target 類似,不同之處在于,它僅使用基本的策略規則包。對于低內存設備來說,Minumun 策略允許 SELinux 在不消耗過多資源的情況下運行。

注意,你自己所使用的 Linux 發行版本中,可用的策略規則可能與以上所列出的策略規則不完全相同。比如說,在較早的 Linux 發行版本中,仍然可以使用 strict 策略,但在較新的發行版本中,strict 策略被合并在 Targeted 策略中,此策略也是默認使用的策略規則。

那么,我們如何查詢當前系統中所使用的 SELinux 的策略是哪一種呢?這就要使用 sestatus 命令來查看了,命令如下:

[root@localhost ~]# sestatus
SELinux status: enabled
#SELinux啟用
SELinuxfs mount: /selinux
#SELinux數據的掛載位置
Current mode: enforcing
#運行模式是強制模式
Mode from config file: enforcing
#配置文件所指定的模式也是強制模式
Policy version: 24
#策略版本
Policy from config file: targeted
#目前策略是針對性保護策略

beylze編程學院,一個分享編程知識和seo優化知識的網站。跟著beylze一起學習,每天都有進步。

通俗易懂,深入淺出,一篇文章只講一個知識點。

文章不深奧,不需要鉆研,在公交、在地鐵、在廁所都可以閱讀,隨時隨地漲姿勢。

文章不涉及代碼,不燒腦細胞,人人都可以學習。

當你決定關注beylze(公眾號:beylze),你已然超越了90%的其他從業者!

相關文章

優秀教程

国产亚洲欧美日韩