@不喜丶不悲
2年前 提问
1个回答
SELinux从哪几方面建立加强的安全访问控制策略
delay
2年前
SELinux从以下几方面建立加强的安全访问控制策略:
强制访问控制MAC:强制访问控制MAC区别于自主访问控制DAC而存在,强制访问控制MAC基于策略实施对所有客体的访问,这些策略由管理员统一定制,一般用户无更改权限。
类型强制TE:类型强制TE对每个进程均赋予最小的权限。类型强制TE的特点是对所有的进程都赋予一个domain的标签,并对所有的文件都赋予一个type的文件类型标签。Domain标签能够执行的操作由AV规则在策略中设定。
domain迁移:domain迁移可防止权限升级,domain迁移的概念可用如下例子很好地说明。众所周知,SELinux中所有的进程都在域中运行。假设进程A在Domain A内运行,进程B在Domain B内运行。若要使B程序在Domain A中执行,就需要使用domain迁移,否则运行B程序时,其默认继承Domain B。
基于角色的访问控制RBAC:基于角色的访问控制RBAC,可使在SELinux中用户只被赋予最小的权限。在SELinux中,用户被划分成一些role,策略决定哪些role可以执行哪些domain。role可以迁移,但只能按照策略的规定进行迁移。