SELinux的3種策略類型:1、Target策略,主要對系統中的服務進程進程存取控制,還可以限制其他進程和使用者。 2、MLS策略,會對系統中的所有行程進行控制。 3.Minimum策略,最初是針對低內存電腦或設備(例如智慧型手機)而創建的,該策略允許SELinux在不消耗過多資源的情況下運行。
本教學操作環境:linux7.3系統、Dell G3電腦。
對於 SELinux 來說,所選的策略類型直接決定了使用哪種策略規則來執行主體(進程)可以存取的目標(檔案或目錄資源)。不僅如此,策略類型還決定需要哪些特定的安全上下文屬性。透過策略類型,可以更精確地了解 SELinux 所實現的存取控制。
SELinux 提供 3 種不同的策略可供選擇,分別是 Targeted、MLS 、 MiNimum。每個策略分別實現了可滿足不同需求的存取控制,因此,為了正確地選擇一個滿足特定安全需求的策略,就必須先了解這些策略類型。
Target 策略
#Target 策略主要對系統中的服務行程存取控制,同時,它也能限制其他行程和用戶。服務進程都被放入沙盒,在此環境中,服務進程會被嚴格限制,以便使透過此類進程所引發的惡意攻擊不會影響到其他服務或 Linux 系統。
沙盒(sandbox)是一種環境,在此環境中的進程可以運行,但對其他進程或資源的存取會被嚴格控制。換句話說,位於沙盒中的各個進程,都只是運行在自己的域(進程所運行的區域被稱為「域」)內,它們無法存取其他進程或資源(除非被授予特殊的權限)。
透過使用此策略,可以更安全地共用列印伺服器、檔案伺服器、Web 伺服器或其他服務,同時降低因存取這些服務而對系統中其他資源造成不利影響的風險。
MLS 策略
MLS,是Multi-Level Security 的縮寫,該策略會對系統中的所有程序進行控制。啟用 MLS 之後,使用者即便執行最簡單的指令(如 ls),都會報錯。
Minimum 策略
#Minimum 策略的意思是“最小限制”,該策略最初是針對低記憶體電腦或裝置(比如智慧型手機)而創建的。
本質上來說,Minimun 和 Target 類似,不同之處在於,它只使用基本的策略規則套件。對於低記憶體裝置來說,Minumun 策略允許 SELinux 在不消耗過多資源的情況下運作。
注意,你自己所使用的 Linux 發行版本中,可用的策略規則可能與以上所列出的策略規則不完全相同。比方說,在較早的 Linux 發行版本中,仍然可以使用 strict 策略,但在較新的發行版本中,strict 策略被合併在 Targeted 策略中,此策略也是預設使用的策略規則。
那麼,我們要如何查詢目前系統中所使用的 SELinux 的策略是哪一種呢?這就要使用 sestatus 指令來查看了,指令如下:
[root@localhost ~]# sestatus SELinux status: enabled #SELinux启用 SELinuxfs mount: /selinux #SELinux数据的挂载位置 Current mode: enforcing #运行模式是强制模式 Mode from config file: enforcing #配置文件所指定的模式也是强制模式 Policy version: 24 #策略版本 Policy from config file: targeted #目前策略是针对性保护策略
相關推薦:《Linux影片教學》
以上是SELinux有哪3種策略類型的詳細內容。更多資訊請關注PHP中文網其他相關文章!
