企业做网站的好处是什么,wordpress 首页白屏,网络销售营业执照经营范围,谷歌商店下载官方接前一篇文章#xff1a;SELinux零知识学习十五、SELinux策略语言之客体类别和许可#xff08;9#xff09; 二、SELinux策略语言之类型强制
SELinux策略大部分内容都是由多条类型强制规则构成的#xff0c;这些规则控制被允许的使用权#xff0c;大多数默认转换标志、审…接前一篇文章SELinux零知识学习十五、SELinux策略语言之客体类别和许可9 二、SELinux策略语言之类型强制
SELinux策略大部分内容都是由多条类型强制规则构成的这些规则控制被允许的使用权大多数默认转换标志、审核、以及固定部分的检查。我们将详细地讨论类型强制规则以及这些规则使用的类型定义和声明。
1. 类型强制
SELinux策略大部分都是一套声明和规则一起定义的类型强制Type EnforcementTE策略。一个定义良好的、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少有一条允许的TE访问规则。如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就会明白为什么在策略中有那么多的TE规则了。当我们添加TE规则控制的审核配置和标志时对于具有严格限制的SELinux策略常常会见到它包含有上千条规则。在此我们先理解一下TE规则是如何工作的。
TE规则的绝对数量对理解SELinux策略是一个大的挑战但是规则本身并不复杂其分类相对较少所有的规则基本上都属于两类范畴访问向量Access VectorAV和类型规则。我们使用AV规则允许或审核两个类型之间的访问权在某些情况下使用类型规则控制默认的标记决定。
正如其名字所暗示的意思TE规则通过安全上下文与所有资源联合一起对类型起作用策略语言包括了另外的允许定义类型及其策略组件的语句。
SELinux的一个重要概念是TE规则是将权限与程序的访问结合在一起而非结合用户。本章我们讨论的所有SELinux策略语言特性都是处理主体正常运行中的进程对客体文件、目录和套接字的访问权的主要集中于程序访问控制决策。这也是SELinux的主要益处其允许SELinux策略编写者基于程序的功能和安全属性加上用户要完成任务需要的所有访问权做出访问决策可以将程序限制到功能合适并且权限最小化的程度。因此即使它出了故障或被攻击破坏整个系统的安全并不会受到威胁。例如如果一个Web服务器的策略阻止修改它显示的文件那么即使服务器被攻破了TE策略也能阻止被攻破的服务器修改那些文件。这样就消除了通过Web服务器的漏洞攻击造成对网站的威胁。只有被攻破的应用程序受到影响并且它会被我们在策略中定义的访问权限制。
SELinux是不会管用户的
