1. 簡(jiǎn)介

創(chuàng)新互聯(lián)成立以來(lái)不斷整合自身及行業(yè)資源、不斷突破觀念以使企業(yè)策略得到完善和成熟，建立了一套“以技術(shù)為基點(diǎn)，以客戶需求中心、市場(chǎng)為導(dǎo)向”的快速反應(yīng)體系。對(duì)公司的主營(yíng)項(xiàng)目，如中高端企業(yè)網(wǎng)站企劃 / 設(shè)計(jì)、行業(yè) / 企業(yè)門戶設(shè)計(jì)推廣、行業(yè)門戶平臺(tái)運(yùn)營(yíng)、app軟件開(kāi)發(fā)、手機(jī)網(wǎng)站開(kāi)發(fā)、微信網(wǎng)站制作、軟件開(kāi)發(fā)、西信服務(wù)器托管等實(shí)行標(biāo)準(zhǔn)化操作，讓客戶可以直觀的預(yù)知到從創(chuàng)新互聯(lián)可以獲得的服務(wù)效果。

SELinux帶給Linux的主要價(jià)值是：提供了一個(gè)靈活的，可配置的MAC機(jī)制。

    Security-Enhanced Linux (SELinux)由以下兩部分組成：

    1) Kernel SELinux模塊(/kernel/security/selinux)

    2) 用戶態(tài)工具

    SELinux是一個(gè)安全體系結(jié)構(gòu)，它通過(guò)LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中。它是NSA (United States National Security Agency)和SELinux社區(qū)的聯(lián)合項(xiàng)目。

SELinux提供了一種靈活的強(qiáng)制訪問(wèn)控制(MAC)系統(tǒng)，且內(nèi)嵌于Linux Kernel中。SELinux定義了系統(tǒng)中每個(gè)【用戶】、【進(jìn)程】、【應(yīng)用】和【文件】的訪問(wèn)和轉(zhuǎn)變的權(quán)限，然后它使用一個(gè)安全策略來(lái)控制這些實(shí)體(用戶、進(jìn)程、應(yīng)用和文件)之間的交互，安全策略指定如何嚴(yán)格或?qū)捤傻剡M(jìn)行檢查。

    SELinux對(duì)系統(tǒng)用戶(system users)是透明的，只有系統(tǒng)管理員需要考慮在他的服務(wù)器中如何制定嚴(yán)格的策略。策略可以根據(jù)需要是嚴(yán)格的或?qū)捤傻摹?/p>

只有同時(shí)滿足了【標(biāo)準(zhǔn)Linux訪問(wèn)控制】和【SELinux訪問(wèn)控制】時(shí)，主體才能訪問(wèn)客體。

1.1 DAC與MAC的關(guān)鍵區(qū)別(root用戶)

      安 全增強(qiáng)型Linux(SELinux)開(kāi)始是由NSA（國(guó)家安全局）啟動(dòng)并加入到Linux系統(tǒng)中的一套核心組件及用戶工具，可以讓應(yīng)用程序運(yùn)行在其所需的最低權(quán)限上。未 經(jīng)修改過(guò)的Linux系統(tǒng)是使用自主訪問(wèn)控制的，用戶可以自己請(qǐng)求更高的權(quán)限，由此惡意軟件幾乎可以訪問(wèn)任何它想訪問(wèn)的文件，而如果你授予其root權(quán) 限，那它就無(wú)所不能了。

      在SELinux中沒(méi)有root這個(gè)概念，安全策略是由管理員來(lái)定義的，任何軟件都無(wú)法取代它。這意味著那些潛在的惡意軟件所能造成的損害可以被控制在最小。一般情況下只有非常注重?cái)?shù)據(jù)安全的企業(yè)級(jí)用戶才會(huì)使用SELinux。

操作系統(tǒng)有兩類訪問(wèn)控制：自主訪問(wèn)控制（DAC）和強(qiáng)制訪問(wèn)控制（MAC）。標(biāo)準(zhǔn)Linux安全是一種DAC，SELinux為L(zhǎng)inux增加了一個(gè)靈活的和可配置的的MAC。

      所有DAC機(jī)制都有一個(gè)共同的弱點(diǎn)，就是它們不能識(shí)別自然人與計(jì)算機(jī)程序之間最基本的區(qū)別。簡(jiǎn)單點(diǎn)說(shuō)就是，如果一個(gè)用戶被授權(quán)允許訪問(wèn)，意味著程序也被授權(quán)訪問(wèn)，如果程序被授權(quán)訪問(wèn)，那么惡意程序也將有同樣的訪問(wèn)權(quán)。 DAC最根本的弱點(diǎn)是主體容易受到多種多樣的惡意軟件的攻擊，MAC就是避免這些攻擊的出路，大多數(shù)MAC特性組成了多層安全模型。

SELinux實(shí)現(xiàn)了一個(gè)更靈活的MAC形式，叫做類型強(qiáng)制(Type Enforcement)和一個(gè)非強(qiáng)制的多層安全形式(Multi-Level Security)。

      在Android4.2中，SELinux是個(gè)可選項(xiàng)，谷歌并沒(méi)有直接取消root權(quán)限或其他功能。這是一個(gè)為企業(yè)級(jí)用戶或是對(duì)隱私數(shù)據(jù)極為重視的用戶提供的選項(xiàng)，普通消費(fèi)者則完全可以關(guān)閉它。 

2. SELinux的運(yùn)行機(jī)制

    SELinux決策過(guò)程如下圖所示：

      當(dāng)一個(gè)subject(如: 一個(gè)應(yīng)用)試圖訪問(wèn)一個(gè)object(如：一個(gè)文件)，Kernel中的策略執(zhí)行服務(wù)器將檢查AVC (Access Vector Cache), 在AVC中，subject和object的權(quán)限被緩存(cached)。如果基于AVC中的數(shù)據(jù)不能做出決定，則請(qǐng)求安全服務(wù)器，安全服務(wù)器在一個(gè)矩陣中查找“應(yīng)用+文件”的安全環(huán)境。然后根據(jù)查詢結(jié)果允許或拒絕訪問(wèn)，拒絕消息細(xì)節(jié)位于/var/log/messages中。

3. SELinux偽文件系統(tǒng)

/selinux/偽文件系統(tǒng)kernel子系統(tǒng)通常使用的命令，它類似于/proc/偽文件系統(tǒng)。系統(tǒng)管理員和用戶不需要操作這部分。/selinux/目錄舉例如下：

-rw-rw-rw- 1 root root 0 Sep 22 13:14 access 
dr-xr-xr-x 1 root root 0 Sep 22 13:14 booleans 
--w------- 1 root root 0 Sep 22 13:14 commit_pending_bools 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 context 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 create 
--w------- 1 root root 0 Sep 22 13:14 disable 
-rw-r--r-- 1 root root 0 Sep 22 13:14 enforce 
-rw------- 1 root root 0 Sep 22 13:14 load 
-r--r--r-- 1 root root 0 Sep 22 13:14 mls 
-r--r--r-- 1 root root 0 Sep 22 13:14 policyvers 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 relabel 
-rw-rw-rw- 1 root root 0 Sep 22 13:14 user 

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站名稱：SELINUX工作原理詳解-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)網(wǎng)址：http://aaarwkj.com/article28/ggcjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、全網(wǎng)營(yíng)銷推廣、網(wǎng)站改版、App設(shè)計(jì)、服務(wù)器托管、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)