SELinux基本概念介紹

SELinux由NSA發(fā)布，之后，Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究團(tuán)隊(duì)都為SELinux的發(fā)展做出了重要的貢獻(xiàn)。

SELinux本質(zhì)是一個(gè)Linux內(nèi)核安全模塊，可在Linux系統(tǒng)中配置其狀態(tài)。SELinux的狀態(tài)分為3種，即disabled、permissive和enforcing。

?（1）disabled狀態(tài)：指在Linux系統(tǒng)中不啟用SELinux模塊的功能。

?（2）permissive狀態(tài)：指在Linux系統(tǒng)中，SELinux模塊處于Debug模式，若操作違反策略系統(tǒng)將對違反內(nèi)容進(jìn)行記錄，但不影響后續(xù)操作。

?（3）enforcing狀態(tài)：指在Linux系統(tǒng)中，SELinux模塊有效，若操作違反策略，SELinux模塊將無法繼續(xù)工作。

SELinux涉及的重要概念如下。

（1）主體

主體是訪問操作的發(fā)起者，是系統(tǒng)中信息流的啟動者。主體通常指用戶或代表用戶意圖的進(jìn)程。

通常，主體是訪問的發(fā)起者，但有時(shí)也會成為訪問或受控的對象。

一個(gè)主體可以向另一個(gè)主體授權(quán)，一個(gè)進(jìn)程可能會控制幾個(gè)子進(jìn)程，這時(shí)受控的主體或子進(jìn)程就是一種客體。

（2）客體

客體相對主體而存在，通?？腕w是指信息的載體或從其他主體或客體接收信息的實(shí)體，即訪問對象。

（3）訪問控制分類

管理方式的不同形成不同的訪問控制方式。

通常，訪問控制方式分為兩類：自主訪問控制（DAC， Discretionary Access Control）和強(qiáng)制訪問控制（MAC， Mandatory Access Control）。

（4）域

域決定了系統(tǒng)中進(jìn)程的訪問，所有進(jìn)程都在域中運(yùn)行。本質(zhì)上，域是一個(gè)進(jìn)程允許的操作列表，決定了一個(gè)進(jìn)程可以對哪些類型進(jìn)行操作。SELinux中域的概念相當(dāng)于標(biāo)準(zhǔn)Linux中uid的概念。

（5）類型

類型與域的概念基本相似，但是，域是相對進(jìn)程主體的概念，類型是相對目錄、文件等客體的概念。類型分配給一個(gè)客體，并決定哪個(gè)主體可以訪問該客體。

（6）角色

角色決定了可以使用哪些域。具體哪些角色可以使用哪些域，需要在策略配置文件中預(yù)先定義。如果在策略配置文件中定義了某個(gè)角色不可以使用某個(gè)域，在實(shí)際使用中將會被拒絕。

（7）身份

身份屬于安全上下文的一部分，身份決定了本質(zhì)上可以執(zhí)行哪個(gè)域。

（8）安全上下文

安全上下文是對操作涉及的所有部分的屬性描述，包括身份、角色、域、類型。

（9）策略

策略是規(guī)則的集合，是可以設(shè)置的規(guī)則。

策略決定一個(gè)角色的用戶可以訪問什么，哪個(gè)角色可以進(jìn)入哪個(gè)域，哪個(gè)域可以訪問哪個(gè)類型等。