2023學(xué)年完整公開課版SELinux概述_第1頁
2023學(xué)年完整公開課版SELinux概述_第2頁
2023學(xué)年完整公開課版SELinux概述_第3頁
2023學(xué)年完整公開課版SELinux概述_第4頁
2023學(xué)年完整公開課版SELinux概述_第5頁
已閱讀5頁,還剩8頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

SELinux概述1.了解SELinux概念和特點

2.熟悉SELinux基本詞匯SELinux介紹01SELinux介紹SELinux(Security-EnhancedLinux)是美國國家安全局(NSA)在Linux開源社區(qū)的幫助下開發(fā)的一個強制訪問控制(MAC,MandatoryAccessControl)的安全子系統(tǒng)。Linux系統(tǒng)使用SELinux技術(shù)的目的是為了讓各個服務(wù)進程都受到約束,使其僅能獲取到本應(yīng)獲取的資源。SELinux安全子系統(tǒng)能夠從多方面監(jiān)控違法行為:對服務(wù)程序的功能進行限制(SELinux域限制可以確保服務(wù)程序做不了出格的事情);對文件資源的訪問限制(SELinux安全上下文確保文件資源只能被其所屬的服務(wù)程序進行訪問)。SELinux域”和“SELinux安全上下文”是SELinux的雙保險,使服務(wù)程序無法進行越權(quán)操作。SELinux的特點02SELinux的優(yōu)點●對訪問的控制徹底化特點1:MAC(MandatoryAccessControl)------對訪問的控制徹底化對于所有的文件,目錄,端口這類的資源的訪問,都可以是基于策略設(shè)定的,這些策略是由管理員定制的,一般用戶是沒有權(quán)限更改的。特點2:TE(TypeEnforcement)------對于進程只賦予最小的權(quán)限TE概念在SELinux里非常的重要。它的特點是對所有的文件都賦予一個叫type的文件類型標(biāo)簽,對于所有的進程也賦予各自的一個叫domain的標(biāo)簽。Domain標(biāo)簽?zāi)軌驁?zhí)行的操作也是由accessvector在策略里定好的?!駥τ谶M程只賦予最小的權(quán)限SELinux的特點特點3:domain遷移------防止權(quán)限升級特點4:RBAC(role-basedaccesscontrol)------對于用戶只賦予最小的權(quán)限對于用戶來說,被劃分成一些role,即使是root用戶,你要是不在sysadm_r里,也還是不能實行sysadm_t管理操作的。因為,那些role可以執(zhí)行那些domain也是在策略里設(shè)定的。role也是可以遷移的,但是也只能按策略規(guī)定的遷移?!穹乐箼?quán)限升級●對于用戶只賦予最小的權(quán)限SELinux基本詞匯03SELinux基本詞匯●主體(Subject)SELinux把進程稱為主體?!駥ο螅∣bject)在SELinux世界中,所有可以被主體訪問的資源,如文件、目錄、進程、端口、設(shè)備等,都稱為對象。●類型(Type)SELinux允許為系統(tǒng)中的每一個主體或?qū)ο蠖x一個類型,通常以_t作為后綴。例如,default_表示默認類型,boot_t表示引導(dǎo)文件類型,device_t表示設(shè)備文件,httpd_t表示HTTP服務(wù)相關(guān)類型,unconfined_t表示未配置的類別。SELinux基本詞匯●領(lǐng)域(Domain)定義進程的類型,稱為領(lǐng)域。例如,httpd就是httpd_t領(lǐng)域的進程?!裼脩簦║ser)SELinux通過用戶(User)代表某一些賬號的識別數(shù)據(jù),通常以_u作為后綴。例如system_u表示用戶系統(tǒng)賬戶身份,user_u表示普通用戶身份,root為根用戶?!窠巧?Role)角色用來代表某一些用戶或?qū)ο蟮慕M合,通常以_r作為后綴。例如object_r這個角色就代表例如文件或設(shè)備的系統(tǒng)對象,user_r代表用戶。SELinux基本詞匯●安全原則(SecurityPolicy)安全原則用來定義主體讀取對象的規(guī)則數(shù)據(jù)庫。安全原則中可以存儲多條規(guī)則,每一條規(guī)則將記錄哪個類型的主體使用哪個方法讀取哪一個對象時是允許還是被禁止。目前RHEL7/CentOS7提供targeted,strict與mls三個安全原則,每一個安全原則的功能、用戶與定位都不同。targeted:用來保護常見的網(wǎng)絡(luò)服務(wù)。strict:用來提供符合基于角色的訪問控制(RBAC)機制的安全性。mls:提供符合多級安全(MLS)機制的安全性。默認RHEL7/CentOS7自動安裝targeted安全原則?!癜踩舷挛模⊿ecurityContext):安全上下文是一組與某一個進程或?qū)ο笥嘘P(guān)的訪問控制屬性,SELinux系統(tǒng)中的每一個進程與對象都會記錄一條全上下文。安全上下文主要分為五個安全元素user、rol

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論