SELinux の 3 つのポリシー タイプを学習する

SELinux (Security-Enhanced Linux) は、Linux システムのセキュリティ サブシステムであり、強制アクセス制御 (MAC) を通じてプログラムとユーザーを制限するアクセス制御セキュリティ メカニズムを提供します。システムのセキュリティを向上させます。 SELinux の中核はポリシーベースのメカニズムであり、さまざまなタイプのポリシーを通じてさまざまなアクセス許可を制御できます。

SELinux には、ロールベースのアクセス制御 (RBAC)、タイプベースのアクセス制御 (TE)、および属性ベースのアクセス制御 (MLS) という 3 つの主要なポリシー タイプがあります。これら 3 つの戦略タイプを、対応するコード例とともに以下で分析します。

1. ロールベースのアクセス制御 (RBAC):
   ロールベースのアクセス制御は、SELinux の基本ポリシー タイプであり、異なるロールを定義することで異なるアクセス許可を与えます。各ロールには一連の権限を持つことができ、ユーザーにはそのロールに基づいて対応する権限が付与されます。ロールベースのアクセス制御により、より詳細な権限制御を実現できます。

サンプル コード:

# 定义一个名为admin的角色
semanage login -a -s admin admin_user

# 将角色admin授予能够访问某个文件的权限
chcon -R -t admin_t /path/to/file

2. タイプベースのアクセス制御 (TE):
   タイプベースのアクセス制御は、SELinux の別のポリシー タイプであり、主に以下を定義します。異なるオブジェクトタイプを使用して、異なるオブジェクト間のアクセス許可を制御します。各オブジェクト タイプには、対応するアクセス ルールと、そのオブジェクト タイプへのアクセスを許可されるプリンシパルがあります。タイプベースのアクセス制御により、ファイルやプロセスなどのさまざまなオブジェクトへのアクセス制御を実現できます。

サンプル コード:

# 定义一个名为myapp的类型
semanage fcontext -a -t myapp_exec_t /path/to/myapp

# 将myapp_exec_t类型赋予myapp进程的权限
allow myapp_t myapp_exec_t: file { execute }

3. 属性ベースのアクセス制御 (MLS):
   属性ベースのアクセス制御は、SELinux タイプで最も厳密かつ柔軟なポリシーです。これは主に、オブジェクトのセキュリティ レベル属性を定義することによってアクセス許可を制御します。各オブジェクトには対応するセキュリティ レベル ラベルがあり、一致するプリンシパルのみがオブジェクトにアクセスできます。 MLS ポリシー タイプは通常、軍事、政府、その他の分野など、情報の厳密な保護が必要なシナリオで使用されます。

サンプル コード:

# 为文件设置MLS级别属性
chcon unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023 /path/to/file

# 检查MLS级别属性
ls -Z /path/to/file

上記のコード例を通じて、SELinux のさまざまなポリシー タイプのアプリケーション メソッドと制御原則をよりよく理解できます。システムのセキュリティ保護とアクセス制御を実現するために、実際のニーズに応じてさまざまなポリシー タイプを選択および構成できます。 SELinux ポリシー タイプは、包括的なセキュリティ保護を提供するだけでなく、システム管理者にさらなる柔軟性とカスタマイズ性を提供し、システムの管理と保護を向上させるのに役立ちます。

以上がSELinux の 3 つのポリシー タイプを学習するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。