Welche drei Richtlinientypen gibt es bei SELinux?

Die drei Richtlinientypen von SELinux: 1. Zielrichtlinie, die hauptsächlich den Zugriff auf den Serviceprozessprozess im System steuert und auch andere Prozesse und Benutzer einschränken kann. 2. Die MLS-Richtlinie steuert alle Prozesse im System. 3. Die Minimalrichtlinie, die ursprünglich für Computer oder Geräte mit wenig Speicher (z. B. Smartphones) erstellt wurde, ermöglicht die Ausführung von SELinux, ohne zu viele Ressourcen zu verbrauchen.

Die Betriebsumgebung dieses Tutorials: Linux7.3-System, Dell G3-Computer.

Für SELinux bestimmt der ausgewählte Richtlinientyp direkt, welche Richtlinienregeln verwendet werden, um die Ziele (Datei- oder Verzeichnisressourcen) auszuführen, auf die das Subjekt (der Prozess) zugreifen kann. Darüber hinaus bestimmt der Richtlinientyp auch, welche spezifischen Sicherheitskontextattribute erforderlich sind. Richtlinientypen ermöglichen ein genaueres Verständnis der von SELinux implementierten Zugriffskontrolle.

SELinux bietet drei verschiedene Strategien zur Auswahl, nämlich Targeted, MLS und MiNimum. Jede Richtlinie implementiert eine Zugriffskontrolle, die unterschiedliche Anforderungen erfüllt. Um also eine Richtlinie richtig auszuwählen, die bestimmte Sicherheitsanforderungen erfüllt, müssen Sie zunächst diese Richtlinientypen verstehen.

Zielrichtlinie

Zielrichtlinie steuert hauptsächlich den Zugriff auf den Serviceprozess im System. Gleichzeitig kann sie auch andere Prozesse und Benutzer einschränken. Dienstprozesse werden in einer Sandbox platziert, einer Umgebung, in der Dienstprozesse streng eingeschränkt sind, sodass böswillige Angriffe durch solche Prozesse keine Auswirkungen auf andere Dienste oder das Linux-System haben.

Eine Sandbox ist eine Umgebung, in der Prozesse ausgeführt werden können, der Zugriff auf andere Prozesse oder Ressourcen jedoch streng kontrolliert wird. Mit anderen Worten: Jeder Prozess in der Sandbox wird nur in seiner eigenen Domäne ausgeführt (der Bereich, in dem der Prozess ausgeführt wird, wird als „Domäne“ bezeichnet) und er kann nicht auf andere Prozesse oder Ressourcen zugreifen (es sei denn, ihm werden spezielle Berechtigungen erteilt).

Durch die Verwendung dieser Richtlinie können Sie Druckserver, Dateiserver, Webserver oder andere Dienste sicherer teilen und gleichzeitig das Risiko verringern, dass der Zugriff auf diese Dienste andere Ressourcen im System beeinträchtigt.

MLS-Richtlinie

MLS ist die Abkürzung für Multi-Level Security. Diese Richtlinie steuert alle Prozesse im System. Nach der Aktivierung von MLS erhalten Benutzer selbst bei der Ausführung der einfachsten Befehle (z. B. ls) Fehler.

Minimum-Strategie

Die Minimum-Strategie bedeutet „Minimallimit“ und wurde ursprünglich für Computer oder Geräte mit wenig Speicher wie Smartphones entwickelt.

Im Wesentlichen ähnelt Minimun Target, außer dass es nur das grundlegende Richtlinienregelpaket verwendet. Bei Geräten mit wenig Arbeitsspeicher ermöglicht die Minumun-Richtlinie die Ausführung von SELinux, ohne zu viele Ressourcen zu verbrauchen.

Beachten Sie, dass die in Ihrer eigenen Linux-Distribution verfügbaren Richtlinienregeln möglicherweise nicht genau mit den oben aufgeführten übereinstimmen. Beispielsweise kann in früheren Linux-Distributionen die strikte Richtlinie weiterhin verwendet werden, aber in neueren Distributionen wird die strikte Richtlinie in die Targeted-Richtlinie integriert, die auch die Standardrichtlinienregel ist.

Wie fragen wir also ab, welche SELinux-Strategie im aktuellen System verwendet wird? Dies muss mit dem Befehl sestatus angezeigt werden. Der Befehl lautet wie folgt:

[root@localhost ~]# sestatus
SELinux status： enabled
#SELinux启用
SELinuxfs mount： /selinux
#SELinux数据的挂载位置
Current mode： enforcing
#运行模式是强制模式
Mode from config file： enforcing
#配置文件所指定的模式也是强制模式
Policy version： 24
#策略版本
Policy from config file： targeted
#目前策略是针对性保护策略

Verwandte Empfehlungen: „Linux Video Tutorial“

Das obige ist der detaillierte Inhalt vonWelche drei Richtlinientypen gibt es bei SELinux?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!