Exploration approfondie des trois classifications de politiques de SELinux

SELinux est une technologie de sécurité de contrôle d'accès obligatoire utilisée pour améliorer la sécurité des systèmes d'exploitation Linux. Dans SELinux, les politiques sont divisées en trois catégories principales : stratégie ciblée, stratégie MLS/MCS et stratégie personnalisée. Ces trois classifications de politiques jouent un rôle important dans le mécanisme de sécurité de SELinux. Cet article présentera ces trois classifications de politiques en détail avec des exemples de code spécifiques.

1. Politique ciblée
   La politique ciblée est la classification de politique la plus couramment utilisée dans SELinux, qui restreint les autorisations d'accès en fonction de la relation entre les utilisateurs, les programmes et les processus. Dans la stratégie cible, seuls quelques utilisateurs ou processus sont définis en tant que stratégies de sécurité, et d'autres utilisateurs ou processus héritent de la stratégie par défaut. En attribuant des rôles et des autorisations à ces utilisateurs ou processus, vous pouvez contrôler efficacement leurs droits d'accès.

Ce qui suit est un exemple de code qui montre comment utiliser une stratégie cible pour restreindre l'accès d'un utilisateur à un fichier :

# 创建一个测试文件
touch testfile.txt

# 为该文件设置安全上下文
chcon system_u:object_r:admin_home_t:s0 testfile.txt

# 创建一个用户
useradd testuser

# 给该用户分配角色和权限
semanage user -a -R "staff_r system_r" testuser

# 切换用户至 testuser
su testuser

# 尝试读取文件
cat testfile.txt

2. Multi-policy (MLS/MCS Policy)
   Multi-policy est une classification plus stricte des stratégies , Un contrôle de sécurité plus fin peut être obtenu. Dans les politiques MLS (Multi-Level Security) et MCS (Multi-Category Security), les fichiers et les processus sont divisés en différents domaines de contrôle d'accès en fonction de leurs niveaux ou catégories de sécurité, réalisant ainsi un contrôle d'accès entre chaque domaine.

Ce qui suit est un exemple de code qui montre comment définir le niveau de sécurité d'un fichier dans une politique MLS :

# 创建一个测试文件
touch testfile.txt

# 为该文件设置安全等级
setfattr -n security.selinux -v "s0:c0,c1" testfile.txt

# 查看文件的安全等级
getfattr -n security.selinux testfile.txt

3. Politique personnalisée (Politique personnalisée)
   La politique personnalisée fait référence à une politique personnalisée en fonction des besoins spécifiques de personnalisation de la sécurité. contrôle. En écrivant des modules de politique personnalisés et des règles associées, le comportement par défaut de SELinux peut être personnalisé pour répondre à des exigences de sécurité spécifiques.

Ce qui suit est un exemple de code qui montre comment écrire un simple module de stratégie personnalisé SELinux :

#include <selinux/selinux.h>
#include <selinux/label.h>

int main() {
    security_context_t scontext, tcontext;
    char *class = "file";
    char *perms = "read";
    security_id_t sid, tid;

    int rc = getfilecon("/etc/passwd", &scontext);
    if (rc < 0) {
        perror("getfilecon");
        return 1;
    }

    rc = security_compute_user(scontext, &sid, &tcontext);
    if (rc < 0) {
        perror("security_compute_user");
        return 1;
    }

    rc = security_compute_av(sid, class, perms, &tid);
    if (rc < 0) {
        perror("security_compute_av");
        return 1;
    }

    printf("Source context: %s
", tcontext);
    printf("Target context: %s
", tcontext);

    return 0;
}

Grâce à l'exemple ci-dessus, nous avons présenté en détail la politique cible, la multi-politique et la politique personnalisée de SELinux, et fourni des Exemples de codes. En comprenant et maîtrisant ces classifications de politiques, les utilisateurs peuvent avoir une compréhension plus approfondie du mécanisme de sécurité de SELinux et mieux l'appliquer au contrôle réel de la sécurité du système.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!