Untuk apa SELinux digunakan?

Fungsi utama SELinux adalah untuk meminimumkan sumber yang boleh diakses oleh proses perkhidmatan dalam sistem (prinsip keistimewaan paling rendah), dan untuk mengehadkan aktiviti kod berniat jahat dalam sistem Linux ke tahap maksimum yang mungkin. SELinux ialah modul fungsi peningkatan keselamatan yang digunakan dalam sistem Linux Ia menyediakan keselamatan yang lebih baik untuk sistem Linux dengan menggunakan MAC (kawalan akses mandatori) untuk sumber proses dan fail.

Persekitaran pengendalian tutorial ini: sistem linux7.3, komputer Dell G3.

Apakah itu SELinux

Linux yang Dipertingkatkan Keselamatan (Linux yang Dipertingkatkan Keselamatan) dirujuk sebagai SELinux Ia adalah modul kernel Linux dan a Linux A subsistem keselamatan.

SELinux dibangunkan terutamanya oleh Agensi Keselamatan Negara AS. Kernel Linux versi 2.6 dan ke atas telah menyepadukan modul SELinux.

Struktur dan konfigurasi SELinux sangat kompleks, dan terdapat banyak perkara berkonsepkan, yang menjadikannya sukar untuk dikuasai. Ramai pentadbir sistem Linux mematikan SELinux kerana mereka mendapati ia menyusahkan.

Apakah kegunaan SELinux

Fungsi utama SELinux adalah untuk meminimumkan sumber yang boleh diakses oleh proses perkhidmatan dalam sistem (prinsip mempunyai keistimewaan yang paling sedikit).

Kami tahu bahawa sistem Linux tradisional menggunakan DAC (Discretionary Access Control) untuk keselamatan, manakala SELinux ialah modul peningkatan keselamatan yang digunakan dalam sistem Linux Ia menggunakan MAC (MAC) untuk kaedah kawalan akses Mandatori ) menyediakan keselamatan yang lebih baik untuk sistem Linux.

Perlu diingatkan bahawa MAC SELinux tidak akan menggantikan sepenuhnya DAC Sebaliknya, ia adalah lapisan keselamatan tambahan untuk keselamatan sistem Linux, dengan kata lain, apabila menggunakan SELinux, DAC masih digunakan. dan akan digunakan terlebih dahulu Jika akses dibenarkan, dasar SELinux akan digunakan, jika peraturan DAC menafikan akses, tidak perlu menggunakan dasar SELinux sama sekali.

Sebagai contoh, jika pengguna cuba melakukan operasi pada fail tanpa melaksanakan kebenaran (rw-), peraturan DAC tradisional akan menafikan akses pengguna, jadi tidak perlu menggunakan dasar SELinux.

Berbanding dengan kaedah kawalan keselamatan DAC Linux tradisional, SELinux mempunyai banyak kelebihan, seperti:

• Ia menggunakan kaedah kawalan MAC, yang dianggap sebagai kawalan Akses terkuat kaedah;

• Ia memberikan subjek (pengguna atau proses) keistimewaan akses minimum, yang bermaksud bahawa setiap subjek hanya diberikan apa yang diperlukan untuk menyelesaikan tugasan yang berkaitan . Dengan memberikan keistimewaan akses yang paling sedikit, anda boleh menghalang subjek daripada memberi kesan buruk kepada pengguna atau proses lain

• Semasa proses pengurusan SELinux, setiap proses mempunyai kawasan berjalan sendiri (dipanggil domain), setiap satu proses hanya berjalan dalam domainnya sendiri dan tidak boleh mengakses proses dan fail lain melainkan kebenaran khas diberikan.

• SELinux boleh ditala kepada mod Permisif, yang membolehkan melihat tera yang dihasilkan dengan melaksanakan SELinux pada sistem. Dalam mod Permisif, SELinux masih mencatatkan perkara yang dianggapnya sebagai kelemahan keselamatan, tetapi tidak menghalangnya.

Malah, cara paling langsung untuk memahami kelebihan SELinux ialah melihat apa yang berlaku apabila SELinux tidak berjalan pada sistem Linux.

Sebagai contoh, daemon pelayan web (httd) sedang mendengar apa yang berlaku pada port tertentu, dan kemudian datang permintaan ringkas daripada pelayar web untuk melihat halaman utama. Memandangkan ia tidak akan dikekang oleh SELinux, selepas httpd daemon mendengar permintaan itu, ia boleh melakukan perkara berikut:

• Menurut kebenaran rwx pemilik dan kumpulan yang berkaitan, ia boleh mengakses sebarang fail atau Direktori;

• Aktiviti lengkap yang menimbulkan risiko keselamatan, seperti membenarkan muat naik fail atau menukar paparan sistem; permintaan pada mana-mana pelabuhan.

• Tetapi pada sistem terikat SELinux, daemon httpd dikawal dengan lebih ketat. Masih menggunakan contoh di atas, httped hanya boleh mendengar pada port yang SELinux membenarkan ia mendengar. SELinux juga menghalang httpd daripada mengakses sebarang fail tanpa konteks keselamatan yang ditetapkan dengan betul dan menafikan aktiviti tidak selamat yang tidak didayakan secara eksplisit dalam SELinux.

Jadi, pada dasarnya, SELinux mengehadkan aktiviti kod hasad dalam sistem Linux secara maksimum.

Cadangan berkaitan: "

Tutorial Video Linux

"

Atas ialah kandungan terperinci Untuk apa SELinux digunakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!