SELinux基本概念介绍
selinux由nsa发布,之后,red hat、network associates、secure computing corporation、tresys technology以及trusted computer solutions等公司及研究团队都为selinux的发展做出了重要的贡献。
selinux本质是一个linux内核安全模块,可在linux系统中配置其状态。selinux的状态分为3种,即disabled、permissive和enforcing。
•(1)disabled状态:指在linux系统中不启用selinux模块的功能。
•(2)permissive状态:指在linux系统中,selinux模块处于debug模式,若操作违反策略系统将对违反内容进行记录,但不影响后续操作。
•(3)enforcing状态:指在linux系统中,selinux模块有效,若操作违反策略,selinux模块将无法继续工作。
selinux涉及的重要概念如下。
(1)主体
主体是访问操作的发起者,是系统中信息流的启动者。主体通常指用户或代表用户意图的进程。
通常,主体是访问的发起者,但有时也会成为访问或受控的对象。
一个主体可以向另一个主体授权,一个进程可能会控制几个子进程,这时受控的主体或子进程就是一种客体。
(2)客体
客体相对主体而存在,通常客体是指信息的载体或从其他主体或客体接收信息的实体,即访问对象。
(3)访问控制分类
管理方式的不同形成不同的访问控制方式。
通常,访问控制方式分为两类:自主访问控制(dac, discretionary access control)和强制访问控制(mac, mandatory access control)。
(4)域
域决定了系统中进程的访问,所有进程都在域中运行。本质上,域是一个进程允许的操作列表,决定了一个进程可以对哪些类型进行操作。selinux中域的概念相当于标准linux中uid的概念。
(5)类型
类型与域的概念基本相似,但是,域是相对进程主体的概念,类型是相对目录、文件等客体的概念。类型分配给一个客体,并决定哪个主体可以访问该客体。
(6)角色
角色决定了可以使用哪些域。具体哪些角色可以使用哪些域,需要在策略配置文件中预先定义。如果在策略配置文件中定义了某个角色不可以使用某个域,在实际使用中将会被拒绝。
(7)身份
身份属于安全上下文的一部分,身份决定了本质上可以执行哪个域。
(8)安全上下文
安全上下文是对操作涉及的所有部分的属性描述,包括身份、角色、域、类型。
(9)策略
策略是规则的集合,是可以设置的规则。
策略决定一个角色的用户可以访问什么,哪个角色可以进入哪个域,哪个域可以访问哪个类型等。
受市场与转型双重影响三大封装厂业绩下滑 未来如何在先进封装领域发力
华为发布2020年新款笔记本,性能强悍且价格实惠
MAX19998 SiGe、高线性度、2300MHz至400
在网络演进中优化CDMA2000
微波器件和射频器件区别
SELinux基本概念介绍
魅族Flyme 9新系统版本内容分享
魅蓝X侧目!这款国产手机,外观配置更劲爆!
2023世界互联网大会乌镇开幕 建设包容、普惠、有韧性的数字世界
一款可在中红外波段运行的分子传感器
泛在电力物联网的数据量将大幅增加,如何构建一个强大的数据平台
LED优良的电学特性是决定其电光转化效率的因素之一
小米1s完整拆解 1499元到底值不值?
一周芯闻:第十八届中国半导体封测技术与市场年会在天水召开
混合信号FPGA让SOC设计更上一层楼
光电开关的分类,光电开关的特点
法国公司即将推出曲面传感器 摩托罗拉P40配置再次泄露
将控制逻辑与光传感器合并可改进校准、过滤和分辨率
美林银行报告:关于机器人革命可能带来的影响
互联网金融如火如荼,2018重点防控金融风险
selinux本质是一个linux内核安全模块,可在linux系统中配置其状态。selinux的状态分为3种,即disabled、permissive和enforcing。
•(1)disabled状态:指在linux系统中不启用selinux模块的功能。
•(2)permissive状态:指在linux系统中,selinux模块处于debug模式,若操作违反策略系统将对违反内容进行记录,但不影响后续操作。
•(3)enforcing状态:指在linux系统中,selinux模块有效,若操作违反策略,selinux模块将无法继续工作。
selinux涉及的重要概念如下。
(1)主体
主体是访问操作的发起者,是系统中信息流的启动者。主体通常指用户或代表用户意图的进程。
通常,主体是访问的发起者,但有时也会成为访问或受控的对象。
一个主体可以向另一个主体授权,一个进程可能会控制几个子进程,这时受控的主体或子进程就是一种客体。
(2)客体
客体相对主体而存在,通常客体是指信息的载体或从其他主体或客体接收信息的实体,即访问对象。
(3)访问控制分类
管理方式的不同形成不同的访问控制方式。
通常,访问控制方式分为两类:自主访问控制(dac, discretionary access control)和强制访问控制(mac, mandatory access control)。
(4)域
域决定了系统中进程的访问,所有进程都在域中运行。本质上,域是一个进程允许的操作列表,决定了一个进程可以对哪些类型进行操作。selinux中域的概念相当于标准linux中uid的概念。
(5)类型
类型与域的概念基本相似,但是,域是相对进程主体的概念,类型是相对目录、文件等客体的概念。类型分配给一个客体,并决定哪个主体可以访问该客体。
(6)角色
角色决定了可以使用哪些域。具体哪些角色可以使用哪些域,需要在策略配置文件中预先定义。如果在策略配置文件中定义了某个角色不可以使用某个域,在实际使用中将会被拒绝。
(7)身份
身份属于安全上下文的一部分,身份决定了本质上可以执行哪个域。
(8)安全上下文
安全上下文是对操作涉及的所有部分的属性描述,包括身份、角色、域、类型。
(9)策略
策略是规则的集合,是可以设置的规则。
策略决定一个角色的用户可以访问什么,哪个角色可以进入哪个域,哪个域可以访问哪个类型等。
受市场与转型双重影响三大封装厂业绩下滑 未来如何在先进封装领域发力
华为发布2020年新款笔记本,性能强悍且价格实惠
MAX19998 SiGe、高线性度、2300MHz至400
在网络演进中优化CDMA2000
微波器件和射频器件区别
SELinux基本概念介绍
魅族Flyme 9新系统版本内容分享
魅蓝X侧目!这款国产手机,外观配置更劲爆!
2023世界互联网大会乌镇开幕 建设包容、普惠、有韧性的数字世界
一款可在中红外波段运行的分子传感器
泛在电力物联网的数据量将大幅增加,如何构建一个强大的数据平台
LED优良的电学特性是决定其电光转化效率的因素之一
小米1s完整拆解 1499元到底值不值?
一周芯闻:第十八届中国半导体封测技术与市场年会在天水召开
混合信号FPGA让SOC设计更上一层楼
光电开关的分类,光电开关的特点
法国公司即将推出曲面传感器 摩托罗拉P40配置再次泄露
将控制逻辑与光传感器合并可改进校准、过滤和分辨率
美林银行报告:关于机器人革命可能带来的影响
互联网金融如火如荼,2018重点防控金融风险