> Linux教程 > linux基础 >

理解SElinux

理解SElinux

1.传统的权限使用读、写和执行的方式控制着用户对资源(文件及目录)的访问。


 

2.selinux使用selinux用户、角色、类型和级别控制进程对资源(文件及目录)的访问。

SElinux属性格式:

SElinux  User:Role:Type:Level


 

3.在支持SElinux的Linux系统中,用户有系统用户和SElinux用户之分,

SElinux用户是SElinux策略的要素,与linux系统的用户存在一种映射关系。

每个linux用户可以映射为一个selinux用户,查看他们之间的映射使用命令:

semanage

selinux策略定义了大量受限制的SElinux用户,linux用户可以映射到受限制的SElinux用户:例如

 

映射为SElinux用户的user_u的linux用户通常不能运行setuid程序,也不能运行su或sudo命令,

从而防止用户轻易获取root权限。


 

4.所有的进程与文件都有一个类型标记,

类型定义了进程的作用域和文件的访问访问,从而隔离进程的运行空间。


 

5.

查看所有活动进程的SElinux属性的命令:

ps -eZ

查看linux用户的SElinux属性的命令:

id -Z

查看文件的SElinux使用命令:

 

ls -Z 文件


 

6.针对主体(进程)的访问决策需要考虑所有的SElinux属性,

针对对象(文件及目录)的访问决策也需要考虑所有的SElinux;

在类型强制的SElinux环境中,所有主体和对象都有一个类型,

利用类型实行SElinux策略的强制规则,

因此有时很难区分主体(进程)和对象(文件);

为了区别进程及文件一般把进程类型的类型称为域。

(责任编辑:IT)