SELinux の 3 つのポリシー タイプの詳細な分析

SELinux の 3 つのポリシー タイプの詳細な説明とコード例

SELinux (Security-Enhanced Linux) は、Linux オペレーティング システムに必須のアクセス制御を実装するセキュリティ サブシステムです。システム、システム。操作ごとに必須のアクセス ルールを定義することで、システムのセキュリティを確保します。 SELinux には、Enforcing、Permissive、Disabled の 3 つの主要なポリシー タイプがあります。この記事では、これら 3 つのポリシー タイプについて詳しく説明し、それぞれの違いを示す対応するコード例を示します。

1. 強制 (強制) ポリシー:

強制モードでは、すべてのアクセスが SELinux ポリシーのルールに従う必要があります。ルールに違反すると、アクセスが拒否され、ログに記録されます。このポリシー タイプは最高レベルのセキュリティを提供しますが、アプリケーションの実行や必要なリソースへのアクセスを妨げる可能性もあります。

強制ポリシーを設定する方法は次のとおりです:

sudo setenforce 1

このコマンドは SELinux を強制モードに設定します。 SELinux が強制モードのときにアクセスが拒否されることを示す簡単な例を次に示します。

# 创建一个文件
touch testfile

# 尝试删除文件
rm testfile

強制モードでは、デフォルトのルールではファイルの削除が許可されていないため、上記の操作は拒否され、SELinux にログインします。ログ。

2. 許可ポリシー:

許可モードでは、SELinux はポリシーに違反するアクセスを記録しますが、アクセスを拒否しません。このモードは、システム動作のデバッグと分析に使用され、管理者がどのアクセスがポリシーに違反しているかを理解するのに役立ちます。アクセスは拒否されませんが、管理者はログを通じて違反を確認できます。

寛容ポリシーを設定する方法は次のとおりです。

sudo setenforce 0

次の例は、寛容モードでは、ルールに違反するアクセスは記録されますが、拒否されないことを示しています。

# 创建一个文件
touch testfile

# 尝试删除文件
rm testfile

リラックス モードでは、上記の操作は SELinux ログに記録されますが、拒否されません。

3. 無効 (無効) ポリシー:

無効モードでは、SELinux は完全にシャットダウンされ、システムは SELinux ポリシー ルールを適用しなくなります。これは、どのプロセスもどのリソースにもアクセスできることを意味し、その結果、システムの安全性が低下する可能性があります。 SELinux を無効にすることは、通常、一部のアプリケーションが SELinux ポリシーと競合し、適切に実行できないという問題を解決するために行われます。

SELinux を無効にする方法は次のとおりです:

sudo setenforce 0

以下は、SELinux が無効になってもアクセスが制限されないことを示す例です:

# 创建一个文件
touch testfile

# 尝试删除文件
rm testfile

無効にした後SELinux の場合、上記の操作は制限なく正常に実行されます。

結論:

この記事では、SELinux の 3 つのポリシー タイプ (必須、許可、無効) を紹介し、それらの違いを示す対応するコード例を示します。管理者は、実際のニーズに基づいて適切なポリシー タイプを選択し、状況に応じてシステム セキュリティ レベルを調整できます。強制ポリシーは最高レベルのセキュリティを提供し、緩和ポリシーはデバッグと分析に使用され、無効ポリシーは特定の問題の解決に適しています。実際のアプリケーションでは、システムのセキュリティと安定性を確保するために、SELinux ポリシー タイプを適切に選択および構成することが非常に重要です。

上記は、SELinux の 3 つのポリシー タイプの詳細な分析とコード例です。

以上がSELinux の 3 つのポリシー タイプの詳細な分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。