SELinux基本概念介紹

SELinux由NSA發(fā)布，之后，Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究團隊都為SELinux的發(fā)展做出了重要的貢獻。

SELinux本質(zhì)是一個Linux內(nèi)核安全模塊，可在Linux系統(tǒng)中配置其狀態(tài)。SELinux的狀態(tài)分為3種，即disabled、permissive和enforcing。

?（1）disabled狀態(tài)：指在Linux系統(tǒng)中不啟用SELinux模塊的功能。

?（2）permissive狀態(tài)：指在Linux系統(tǒng)中，SELinux模塊處于Debug模式，若操作違反策略系統(tǒng)將對違反內(nèi)容進行記錄，但不影響后續(xù)操作。

?（3）enforcing狀態(tài)：指在Linux系統(tǒng)中，SELinux模塊有效，若操作違反策略，SELinux模塊將無法繼續(xù)工作。

SELinux涉及的重要概念如下。

（1）主體

主體是訪問操作的發(fā)起者，是系統(tǒng)中信息流的啟動者。主體通常指用戶或代表用戶意圖的進程。

通常，主體是訪問的發(fā)起者，但有時也會成為訪問或受控的對象。

一個主體可以向另一個主體授權(quán)，一個進程可能會控制幾個子進程，這時受控的主體或子進程就是一種客體。

（2）客體

客體相對主體而存在，通常客體是指信息的載體或從其他主體或客體接收信息的實體，即訪問對象。

（3）訪問控制分類

管理方式的不同形成不同的訪問控制方式。

通常，訪問控制方式分為兩類：自主訪問控制（DAC， Discretionary Access Control）和強制訪問控制（MAC， Mandatory Access Control）。

（4）域

域決定了系統(tǒng)中進程的訪問，所有進程都在域中運行。本質(zhì)上，域是一個進程允許的操作列表，決定了一個進程可以對哪些類型進行操作。SELinux中域的概念相當(dāng)于標(biāo)準(zhǔn)Linux中uid的概念。

（5）類型

類型與域的概念基本相似，但是，域是相對進程主體的概念，類型是相對目錄、文件等客體的概念。類型分配給一個客體，并決定哪個主體可以訪問該客體。

（6）角色

角色決定了可以使用哪些域。具體哪些角色可以使用哪些域，需要在策略配置文件中預(yù)先定義。如果在策略配置文件中定義了某個角色不可以使用某個域，在實際使用中將會被拒絕。

（7）身份

身份屬于安全上下文的一部分，身份決定了本質(zhì)上可以執(zhí)行哪個域。

（8）安全上下文

安全上下文是對操作涉及的所有部分的屬性描述，包括身份、角色、域、類型。

（9）策略

策略是規(guī)則的集合，是可以設(shè)置的規(guī)則。

策略決定一個角色的用戶可以訪問什么，哪個角色可以進入哪個域，哪個域可以訪問哪個類型等。