13518219792
這篇文章主要介紹了SELinux的作用是什么的相關知識,內容詳細易懂,操作簡單快捷,具有一定借鑒價值,相信大家閱讀完這篇SELinux的作用是什么文章都會有所收獲,下面我們一起來看看吧。
創新互聯建站始終致力于在企業網站建設領域發展。秉承“創新、求實、誠信、拼搏”的企業精神,致力為企業提供全面的網絡宣傳與技術應用整體策劃方案,為企業提供包括“網站建設、響應式網站、手機網站建設、微信網站建設、小程序制作、商城網站制作、平臺網站建設秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協力一起成長,共同發展。
SELinux主要作用就是最大限度地減小系統中服務進程可訪問的資源(最小權限原則),最大程序上限制了Linux系統中的惡意代碼活動。SELinux是部署在Linux系統中的安全增強功能模塊,它通過對進程和文件資源采用MAC(強制訪問控制方式)為Linux系統提供了改進的安全性。
SELinux是什么
安全增強型 Linux(Security-Enhanced Linux)簡稱 SELinux,它是一個 Linux 內核模塊,也是 Linux 的一個安全子系統。
SELinux 主要由美國國家安全局開發。2.6 及以上版本的 Linux 內核都已經集成了 SELinux 模塊。
SELinux 的結構及配置非常復雜,而且有大量概念性的東西,要學精難度較大。很多 Linux 系統管理員嫌麻煩都把 SELinux 關閉了。
SELinux有什么用
SELinux 主要作用就是最大限度地減小系統中服務進程可訪問的資源(最小權限原則)。
我們知道,傳統的 Linux 系統安全,采用的是 DAC(自主訪問控制方式),而 SELinux 是部署在 Linux 系統中的安全增強功能模塊,它通過對進程和文件資源采用 MAC(強制訪問控制方式)為 Linux 系統提供了改進的安全性。
需要注意的是,SELinux 的 MAC 并不會完全取代 DAC,恰恰相反,對于 Linux 系統安全來說,它是一個額外的安全層,換句話說,當使用 SELinux 時,DAC 仍然被使用,且會首先被使用,如果允許訪問,再使用 SELinux 策略;反之,如果 DAC 規則拒絕訪問,則根本無需使用 SELinux 策略。
例如,若用戶嘗試對沒有執行權限(rw-)的文件進行執行操作,那么傳統的 DAC 規則就會拒絕用戶訪問,因此,也就無需再使用 SELinux 策略。
相比傳統的 Linux DAC 安全控制方式,SELinux 具有諸多好處,比如說:
它使用的是 MAC 控制方式,這被認為是最強的訪問控制方式;
它賦予了主體(用戶或進程)最小的訪問特權,這也就意味著,每個主體僅被賦予了完成相關任務所必須的一組有限的權限。通過賦予最小訪問特權,可以防止主體對其他用戶或進程產生不利的影響;
SELinux 管理過程中,每個進程都有自己的運行區域(稱為域),各進程僅運行在自己的域內,無法訪問其他進程和文件,除非被授予了特殊權限。
SELinux 可以調整到 Permissive 模式,此模式允許查看在系統上執行 SELinux 后所產生的印象。在 Permissive 模式中,SELinux 仍然會記錄它所認為的安全漏洞,但并不會阻止它們。
其實,想要了解 SELinux 的優點,最直接的辦法就是查看當 Linux 系統上沒有運行 SELinux 時會發生什么事情。
例如,Web 服務器守護進程(httd)正在監聽某一端口上所發生的事情,而后進來了一個請求查看主頁的來自 Web 瀏覽器的簡單請求。由于不會受到 SELinux 的約束,httpd 守護進程聽到請求后,可以完成以下事情:
根據相關的所有者和所屬組的rwx權限,可以訪問任何文件或目錄;
完成存在安全隱患的活動,比如允許上傳文件或更改系統顯示;
可以監聽任何端口的傳入請求。
但在一個受 SELinux 約束的系統上,httpd 守護進程受到了更加嚴格的控制。仍然使用上面的示例,httped僅能監聽 SELinux 允許其監聽的端口。SELinux 還可以防止 httpd 訪問任何沒有正確設置安全上下文的文件,并拒絕沒有再 SELinux 中顯式啟用的不安全活動。因此,從本質上講,SELinux 最大程序上限制了 Linux 系統中的惡意代碼活動。
關于“SELinux的作用是什么”這篇文章的內容就介紹到這里,感謝各位的閱讀!相信大家對“SELinux的作用是什么”知識都有一定的了解,大家如果還想學習更多知識,歡迎關注創新互聯行業資訊頻道。
