Terokai cara SELinux berfungsi

Dalam era Internet hari ini, isu keselamatan rangkaian telah menjadi semakin ketara. Untuk melindungi sistem daripada serangan berniat jahat dan capaian yang tidak dibenarkan, sistem pengendalian mempunyai keperluan yang lebih tinggi untuk mekanisme keselamatan. SELinux (Security-Enhanced Linux), sebagai modul keselamatan kernel Linux, menyediakan dasar keselamatan yang berkuasa dan mekanisme kawalan akses, menyediakan keselamatan tambahan untuk sistem.

1. Mod kerja SELinux

SELinux menggunakan mekanisme kawalan akses mandatori (MAC), yang berbeza daripada kawalan akses budi bicara (DAC) tradisional. Dalam mod DAC, kawalan akses bergantung kepada pemilik sumber, iaitu kebenaran akses sumber ditentukan oleh pemilik sumber. Dalam mod MAC SELinux, semua akses sumber tertakluk kepada kawalan dasar mandatori yang ketat, termasuk proses, fail, soket, dsb. Ini bermakna walaupun pengguna mendapat keistimewaan root, mereka tidak boleh memintas mekanisme perlindungan SELinux.

Dalam SELinux, setiap proses dan objek mempunyai konteks keselamatan yang sepadan. Konteks keselamatan terdiri daripada label subjek dan label objek Label subjek mewakili kebenaran proses, dan label objek mewakili kebenaran objek. Apabila permintaan dimulakan, SELinux akan menentukan sama ada untuk membenarkan permintaan berdasarkan matriks kawalan capaian label subjek dan label objek.

2. Contoh kod khusus

Seterusnya, kami akan menunjukkan mod kerja SELinux melalui contoh kod mudah. Dalam contoh ini, kami akan mencipta program C mudah yang cuba membuka fail dan menulis kandungannya. Kami akan menggunakan peraturan keselamatan SELinux untuk mengehadkan kebenaran program ini.

Pertama, kita perlu memastikan bahawa SELinux dipasang dalam sistem dan SELinux didayakan. Kemudian, kami mencipta fail bernama "selinux_example.c" dan menulis kod berikut:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>

int main() {
    char *file_path = "/tmp/example.txt";
    char *content = "Hello, SELinux!";

    int fd = open(file_path, O_RDWR|O_CREAT, S_IRUSR|S_IWUSR);
    if (fd < 0) {
        perror("open");
        return 1;
    }

    if (write(fd, content, sizeof(content)) < 0) {
        perror("write");
        close(fd);
        return 1;
    }

    close(fd);

    return 0;
}

Dalam program ini, kami cuba membuka fail bernama "example.txt" dan menulis kandungan "Hello, SELinux!" Seterusnya, kita perlu mencipta dasar keselamatan SELinux untuk program ini. Kami boleh menggunakan alat "audit2allow" untuk menjana dasar SELinux sementara dan kemudian memuatkan dasar ini. Jalankan arahan berikut:

audit2allow -a -M my_selinux_example
semodule -i my_selinux_example.pp

Selepas menjana dasar, kita boleh menjalankan atur cara yang disusun dan ia sepatutnya berjaya menulis ke fail. Kemudian, kita boleh melihat penjejakan dan rakaman kebenaran akses melalui log audit SELinux. Laksanakan arahan berikut:

grep 'avc: ' /var/log/audit/audit.log | audit2why

Melalui contoh kod dan langkah di atas, kita boleh mempunyai pemahaman yang lebih mendalam tentang mod kerja SELinux dan cara melindungi sistem melalui dasar keselamatan. SELinux menyediakan mekanisme keselamatan yang berkuasa untuk memastikan sistem dilindungi daripada serangan dan penyalahgunaan berniat jahat. Jika anda ingin mengetahui lebih lanjut tentang SELinux, adalah disyorkan untuk merujuk maklumat dan dokumen yang lebih berkaitan untuk mengetahui lebih lanjut tentang cara menulis dan mengurus dasar keselamatan.

Atas ialah kandungan terperinci Terokai cara SELinux berfungsi. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!