1.传统的权限使用读、写和执行的方式控制着用户对资源(文件及目录)的访问。
2.selinux使用selinux用户、角色、类型和级别控制进程对资源(文件及目录)的访问。
SElinux属性格式:
SElinux User:Role:Type:Level
3.在支持SElinux的Linux系统中,用户有系统用户和SElinux用户之分,
SElinux用户是SElinux策略的要素,与linux系统的用户存在一种映射关系。
每个linux用户可以映射为一个selinux用户,查看他们之间的映射使用命令:
semanage
selinux策略定义了大量受限制的SElinux用户,linux用户可以映射到受限制的SElinux用户:例如
映射为SElinux用户的user_u的linux用户通常不能运行setuid程序,也不能运行su或sudo命令,
从而防止用户轻易获取root权限。
4.所有的进程与文件都有一个类型标记,
类型定义了进程的作用域和文件的访问访问,从而隔离进程的运行空间。
5.
查看所有活动进程的SElinux属性的命令:
ps -eZ
查看linux用户的SElinux属性的命令:
id -Z
查看文件的SElinux使用命令:
ls -Z 文件
6.针对主体(进程)的访问决策需要考虑所有的SElinux属性,
针对对象(文件及目录)的访问决策也需要考虑所有的SElinux;
在类型强制的SElinux环境中,所有主体和对象都有一个类型,
利用类型实行SElinux策略的强制规则,
因此有时很难区分主体(进程)和对象(文件);
为了区别进程及文件一般把进程类型的类型称为域。
时间: 2024-10-06 00:30:11