Les 3 types de politiques de SELinux : 1. Politique cible, qui contrôle principalement l'accès au processus de service dans le système, et peut également restreindre d'autres processus et utilisateurs. 2. La politique MLS contrôlera tous les processus du système. 3. La politique minimale, créée à l'origine pour les ordinateurs ou appareils à faible mémoire (tels que les smartphones), permet à SELinux de fonctionner sans consommer trop de ressources.
L'environnement d'exploitation de ce tutoriel : système linux7.3, ordinateur Dell G3.
Pour SELinux, le type de politique sélectionné détermine directement quelles règles de politique sont utilisées pour exécuter les cibles (ressources de fichier ou de répertoire) auxquelles le sujet (processus) peut accéder. De plus, le type de politique détermine également quels attributs de contexte de sécurité spécifiques sont requis. Les types de politiques fournissent une compréhension plus précise du contrôle d'accès mis en œuvre par SELinux.
SELinux propose 3 stratégies différentes parmi lesquelles choisir, à savoir Targeted, MLS et MiNimum. Chaque stratégie implémente un contrôle d'accès qui répond à différents besoins. Par conséquent, afin de sélectionner correctement une stratégie répondant à des besoins de sécurité spécifiques, vous devez d'abord comprendre ces types de stratégie.
Politique cible
La politique cible contrôle principalement l'accès au processus de service dans le système. En même temps, elle peut également restreindre d'autres processus et utilisateurs. Les processus de service sont placés dans un bac à sable, un environnement dans lequel les processus de service sont strictement restreints afin que les attaques malveillantes via ces processus n'affectent pas les autres services ou le système Linux.
Un bac à sable est un environnement dans lequel des processus peuvent s'exécuter, mais l'accès à d'autres processus ou ressources est strictement contrôlé. En d'autres termes, chaque processus situé dans le bac à sable s'exécute uniquement dans son propre domaine (la zone où le processus s'exécute est appelée le « domaine »), et ils ne peuvent pas accéder à d'autres processus ou ressources (à moins qu'ils ne disposent d'autorisations spéciales).
En utilisant cette politique, vous pouvez partager des serveurs d'impression, des serveurs de fichiers, des serveurs Web ou d'autres services de manière plus sécurisée tout en réduisant le risque d'accès à ces services affectant négativement d'autres ressources du système.
Politique MLS
MLS est l'abréviation de Multi-Level Security. Cette politique contrôle tous les processus du système. Après avoir activé MLS, les utilisateurs recevront des erreurs même lors de l'exécution des commandes les plus simples (telles que ls).
Stratégie Minimum
La stratégie Minimum signifie « limite minimale » et a été créée à l'origine pour les ordinateurs ou appareils à faible mémoire tels que les smartphones.
Essentiellement, Minimun est similaire à Target, sauf qu'il utilise uniquement le package de règles de politique de base. Pour les appareils à faible mémoire, la politique Minumun permet à SELinux de s'exécuter sans consommer trop de ressources.
Notez que les règles de politique disponibles dans votre propre distribution Linux peuvent ne pas être exactement les mêmes que celles répertoriées ci-dessus. Par exemple, dans les distributions Linux antérieures, la stratégie stricte peut toujours être utilisée, mais dans les distributions plus récentes, la stratégie stricte est fusionnée avec la stratégie ciblée, qui est également la règle de stratégie par défaut.
Alors, comment pouvons-nous interroger quelle stratégie SELinux est utilisée dans le système actuel ? Cela doit être visualisé à l'aide de la commande sestatus. La commande est la suivante :
[root@localhost ~]# sestatus SELinux status: enabled #SELinux启用 SELinuxfs mount: /selinux #SELinux数据的挂载位置 Current mode: enforcing #运行模式是强制模式 Mode from config file: enforcing #配置文件所指定的模式也是强制模式 Policy version: 24 #策略版本 Policy from config file: targeted #目前策略是针对性保护策略
Recommandations associées : "Tutoriel vidéo Linux"
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!