SELinux的重要作用

2024-08-27 23:56:09

字體：大中小

供稿：網(wǎng)友

　　我們知道，傳統(tǒng)的 Linux 系統(tǒng)安全，采用的是 DAC（自主訪問控制方式），而 SELinux 是部署在 Linux 系統(tǒng)中的安全增強功能模塊，它通過對進程和文件資源采用 MAC（強制訪問控制方式）為 Linux 系統(tǒng)提供了改進的安全性。

　　需要注意的是，SELinux 的 MAC 并不會完全取代 DAC，恰恰相反，對于 Linux 系統(tǒng)安全來說，它是一個額外的安全層，換句話說，當(dāng)使用 SELinux 時，DAC 仍然被使用，且會首先被使用，如果允許訪問，再使用 SELinux 策略；反之，如果 DAC 規(guī)則拒絕訪問，則根本無需使用 SELinux 策略。

　　例如，若用戶嘗試對沒有執(zhí)行權(quán)限（rw-）的文件進行執(zhí)行操作，那么傳統(tǒng)的 DAC 規(guī)則就會拒絕用戶訪問，因此，也就無需再使用 SELinux 策略。

　　相比傳統(tǒng)的 Linux DAC 安全控制方式，SELinux 具有諸多好處，比如說：

　　它使用的是 MAC 控制方式，這被認(rèn)為是最強的訪問控制方式；

　　它賦予了主體（用戶或進程）最小的訪問特權(quán)，這也就意味著，每個主體僅被賦予了完成相關(guān)任務(wù)所必須的一組有限的權(quán)限。通過賦予最小訪問特權(quán)，可以防止主體對其他用戶或進程產(chǎn)生不利的影響；

　　SELinux 管理過程中，每個進程都有自己的運行區(qū)域（稱為域），各進程僅運行在自己的域內(nèi)，無法訪問其他進程和文件，除非被授予了特殊權(quán)限。

　　SELinux 可以調(diào)整到 Permissive 模式，此模式允許查看在系統(tǒng)上執(zhí)行 SELinux 后所產(chǎn)生的印象。在 Permissive 模式中，SELinux 仍然會記錄它所認(rèn)為的安全漏洞，但并不會阻止它們。

　　有關(guān) SELinux 模式設(shè)置等內(nèi)容，后續(xù)章節(jié)會詳細(xì)介紹。

　　其實，想要了解 SELinux 的優(yōu)點，最直接的辦法就是查看當(dāng) Linux 系統(tǒng)上沒有運行 SELinux 時會發(fā)生什么事情。

　　例如，Web 服務(wù)器守護進程（httd）正在監(jiān)聽某一端口上所發(fā)生的事情，而后進來了一個請求查看主頁的來自 Web 瀏覽器的簡單請求。由于不會受到 SELinux 的約束，httpd 守護進程聽到請求后，可以完成以下事情：

　　根據(jù)相關(guān)的所有者和所屬組的rwx權(quán)限，可以訪問任何文件或目錄；

　　完成存在安全隱患的活動，比如允許上傳文件或更改系統(tǒng)顯示；

　　可以監(jiān)聽任何端口的傳入請求。

　　但在一個受 SELinux 約束的系統(tǒng)上，httpd 守護進程受到了更加嚴(yán)格的控制。仍然使用上面的示例，httped僅能監(jiān)聽 SELinux 允許其監(jiān)聽的端口。SELinux 還可以防止 httpd 訪問任何沒有正確設(shè)置安全上下文的文件，并拒絕沒有再 SELinux 中顯式啟用的不安全活動。

　　因此，從本質(zhì)上講，SELinux 最大程序上限制了 Linux 系統(tǒng)中的惡意代碼活動。

（編輯：武林網(wǎng)）

上一篇：SELinux安全上下文的修改和操作chcon和restorecon命令

下一篇：SELinux指什么