SELinux的主要作用

2024-08-27 23:56:22

字體：大中小

來源：轉載

供稿：網友

我們知道，傳統的 linux 系統安全，采用的是 DAC（自主訪問控制方式），而 SELinux 是部署在 Linux 系統中的安全增強功能模塊，它通過對進程和文件資源采用 MAC（強制訪問控制方式）為 Linux 系統提供了改進的安全性。

需要注意的是，SELinux 的 MAC 并不會完全取代 DAC，恰恰相反，對于 Linux 系統安全來說，它是一個額外的安全層，換句話說，當使用 SELinux 時，DAC 仍然被使用，且會首先被使用，如果允許訪問，再使用 SELinux 策略；反之，如果 DAC 規則拒絕訪問，則根本無需使用 SELinux 策略。

例如，若用戶嘗試對沒有執行權限（rw-）的文件進行執行操作，那么傳統的 DAC 規則就會拒絕用戶訪問，因此，也就無需再使用 SELinux 策略。

相比傳統的 Linux DAC 安全控制方式，SELinux 具有諸多好處，比如說：

它使用的是 MAC 控制方式，這被認為是最強的訪問控制方式；
它賦予了主體（用戶或進程）最小的訪問特權，這也就意味著，每個主體僅被賦予了完成相關任務所必須的一組有限的權限。通過賦予最小訪問特權，可以防止主體對其他用戶或進程產生不利的影響；
SELinux 管理過程中，每個進程都有自己的運行區域（稱為域），各進程僅運行在自己的域內，無法訪問其他進程和文件，除非被授予了特殊權限。
SELinux 可以調整到 Permissive 模式，此模式允許查看在系統上執行 SELinux 后所產生的印象。在 Permissive 模式中，SELinux 仍然會記錄它所認為的安全漏洞，但并不會阻止它們。

有關 SELinux 模式設置等內容，后續章節會詳細介紹。

其實，想要了解 SELinux 的優點，最直接的辦法就是查看當 Linux 系統上沒有運行 SELinux 時會發生什么事情。

例如，Web 服務器守護進程（httd）正在監聽某一端口上所發生的事情，而后進來了一個請求查看主頁的來自 Web 瀏覽器的簡單請求。由于不會受到 SELinux 的約束，httpd 守護進程聽到請求后，可以完成以下事情：

根據相關的所有者和所屬組的rwx權限，可以訪問任何文件或目錄；
完成存在安全隱患的活動，比如允許上傳文件或更改系統顯示；
可以監聽任何端口的傳入請求。

但在一個受 SELinux 約束的系統上，httpd 守護進程受到了更加嚴格的控制。仍然使用上面的示例，httped僅能監聽 SELinux 允許其監聽的端口。SELinux 還可以防止 httpd 訪問任何沒有正確設置安全上下文的文件，并拒絕沒有再 SELinux 中顯式啟用的不安全活動。

因此，從本質上講，SELinux 最大程序上限制了 Linux 系統中的惡意代碼活動。

上一篇：SELinux 的工作模式（Disabled、Permissive和Enforcing）

下一篇：SELinux是什么