這篇文章主要介紹了SELinux的作用是什么的相關(guān)知識(shí)��,內(nèi)容詳細(xì)易懂�����,操作簡(jiǎn)單快捷��,具有一定借鑒價(jià)值�����,相信大家閱讀完這篇SELinux的作用是什么文章都會(huì)有所收獲,下面我們一起來看看吧�。
創(chuàng)新互聯(lián)建站始終致力于在企業(yè)網(wǎng)站建設(shè)領(lǐng)域發(fā)展。秉承“創(chuàng)新�、求實(shí)、誠(chéng)信����、拼搏”的企業(yè)精神�����,致力為企業(yè)提供全面的網(wǎng)絡(luò)宣傳與技術(shù)應(yīng)用整體策劃方案���,為企業(yè)提供包括“網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站�����、手機(jī)網(wǎng)站建設(shè)�、微信網(wǎng)站建設(shè)、小程序制作�、商城網(wǎng)站制作、平臺(tái)網(wǎng)站建設(shè)秉承"和諧���、參與��、激情"的文化�,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)�����,共同發(fā)展。
SELinux主要作用就是最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源(最小權(quán)限原則)��,最大程序上限制了Linux系統(tǒng)中的惡意代碼活動(dòng)�����。SELinux是部署在Linux系統(tǒng)中的安全增強(qiáng)功能模塊���,它通過對(duì)進(jìn)程和文件資源采用MAC(強(qiáng)制訪問控制方式)為L(zhǎng)inux系統(tǒng)提供了改進(jìn)的安全性��。
SELinux是什么
安全增強(qiáng)型 Linux(Security-Enhanced Linux)簡(jiǎn)稱 SELinux�,它是一個(gè) Linux 內(nèi)核模塊��,也是 Linux 的一個(gè)安全子系統(tǒng)��。
SELinux 主要由美國(guó)國(guó)家安全局開發(fā)��。2.6 及以上版本的 Linux 內(nèi)核都已經(jīng)集成了 SELinux 模塊��。
SELinux 的結(jié)構(gòu)及配置非常復(fù)雜��,而且有大量概念性的東西���,要學(xué)精難度較大。很多 Linux 系統(tǒng)管理員嫌麻煩都把 SELinux 關(guān)閉了��。
SELinux有什么用
SELinux 主要作用就是最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源(最小權(quán)限原則)。
我們知道�����,傳統(tǒng)的 Linux 系統(tǒng)安全��,采用的是 DAC(自主訪問控制方式)�����,而 SELinux 是部署在 Linux 系統(tǒng)中的安全增強(qiáng)功能模塊����,它通過對(duì)進(jìn)程和文件資源采用 MAC(強(qiáng)制訪問控制方式)為 Linux 系統(tǒng)提供了改進(jìn)的安全性。
需要注意的是�����,SELinux 的 MAC 并不會(huì)完全取代 DAC����,恰恰相反,對(duì)于 Linux 系統(tǒng)安全來說����,它是一個(gè)額外的安全層���,換句話說,當(dāng)使用 SELinux 時(shí)��,DAC 仍然被使用��,且會(huì)首先被使用��,如果允許訪問�����,再使用 SELinux 策略��;反之����,如果 DAC 規(guī)則拒絕訪問,則根本無(wú)需使用 SELinux 策略����。
例如,若用戶嘗試對(duì)沒有執(zhí)行權(quán)限(rw-)的文件進(jìn)行執(zhí)行操作�,那么傳統(tǒng)的 DAC 規(guī)則就會(huì)拒絕用戶訪問����,因此��,也就無(wú)需再使用 SELinux 策略�。
相比傳統(tǒng)的 Linux DAC 安全控制方式��,SELinux 具有諸多好處����,比如說:
它使用的是 MAC 控制方式,這被認(rèn)為是最強(qiáng)的訪問控制方式��;
它賦予了主體(用戶或進(jìn)程)最小的訪問特權(quán)�,這也就意味著,每個(gè)主體僅被賦予了完成相關(guān)任務(wù)所必須的一組有限的權(quán)限���。通過賦予最小訪問特權(quán)�����,可以防止主體對(duì)其他用戶或進(jìn)程產(chǎn)生不利的影響���;
SELinux 管理過程中����,每個(gè)進(jìn)程都有自己的運(yùn)行區(qū)域(稱為域)���,各進(jìn)程僅運(yùn)行在自己的域內(nèi)����,無(wú)法訪問其他進(jìn)程和文件���,除非被授予了特殊權(quán)限�。
SELinux 可以調(diào)整到 Permissive 模式��,此模式允許查看在系統(tǒng)上執(zhí)行 SELinux 后所產(chǎn)生的印象���。在 Permissive 模式中�,SELinux 仍然會(huì)記錄它所認(rèn)為的安全漏洞����,但并不會(huì)阻止它們。
其實(shí)���,想要了解 SELinux 的優(yōu)點(diǎn)���,最直接的辦法就是查看當(dāng) Linux 系統(tǒng)上沒有運(yùn)行 SELinux 時(shí)會(huì)發(fā)生什么事情��。
例如����,Web 服務(wù)器守護(hù)進(jìn)程(httd)正在監(jiān)聽某一端口上所發(fā)生的事情�,而后進(jìn)來了一個(gè)請(qǐng)求查看主頁(yè)的來自 Web 瀏覽器的簡(jiǎn)單請(qǐng)求���。由于不會(huì)受到 SELinux 的約束����,httpd 守護(hù)進(jìn)程聽到請(qǐng)求后����,可以完成以下事情:
根據(jù)相關(guān)的所有者和所屬組的rwx權(quán)限,可以訪問任何文件或目錄�;
完成存在安全隱患的活動(dòng),比如允許上傳文件或更改系統(tǒng)顯示�;
可以監(jiān)聽任何端口的傳入請(qǐng)求。
但在一個(gè)受 SELinux 約束的系統(tǒng)上�����,httpd 守護(hù)進(jìn)程受到了更加嚴(yán)格的控制。仍然使用上面的示例����,httped僅能監(jiān)聽 SELinux 允許其監(jiān)聽的端口。SELinux 還可以防止 httpd 訪問任何沒有正確設(shè)置安全上下文的文件�����,并拒絕沒有再 SELinux 中顯式啟用的不安全活動(dòng)����。因此,從本質(zhì)上講�����,SELinux 最大程序上限制了 Linux 系統(tǒng)中的惡意代碼活動(dòng)�。
關(guān)于“SELinux的作用是什么”這篇文章的內(nèi)容就介紹到這里,感謝各位的閱讀�����!相信大家對(duì)“SELinux的作用是什么”知識(shí)都有一定的了解���,大家如果還想學(xué)習(xí)更多知識(shí)�����,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�����。
分享名稱:SELinux的作用是什么
本文來源:
http://weahome.cn/article/jdgdch.html
重慶分公司
重慶分公司
