SELinux有哪3種策略類型

SELinux的3種策略類型：1、Target策略，主要對系統中的服務進程進程存取控制，還可以限制其他進程和使用者。 2、MLS策略，會對系統中的所有行程進行控制。 3.Minimum策略，最初是針對低內存電腦或設備（例如智慧型手機）而創建的，該策略允許SELinux在不消耗過多資源的情況下運行。

本教學操作環境：linux7.3系統、Dell G3電腦。

對於 SELinux 來說，所選的策略類型直接決定了使用哪種策略規則來執行主體（進程）可以存取的目標（檔案或目錄資源）。不僅如此，策略類型還決定需要哪些特定的安全上下文屬性。透過策略類型，可以更精確地了解 SELinux 所實現的存取控制。

SELinux 提供 3 種不同的策略可供選擇，分別是 Targeted、MLS 、 MiNimum。每個策略分別實現了可滿足不同需求的存取控制，因此，為了正確地選擇一個滿足特定安全需求的策略，就必須先了解這些策略類型。

Target 策略

#Target 策略主要對系統中的服務行程存取控制，同時，它也能限制其他行程和用戶。服務進程都被放入沙盒，在此環境中，服務進程會被嚴格限制，以便使透過此類進程所引發的惡意攻擊不會影響到其他服務或 Linux 系統。

沙盒（sandbox）是一種環境，在此環境中的進程可以運行，但對其他進程或資源的存取會被嚴格控制。換句話說，位於沙盒中的各個進程，都只是運行在自己的域（進程所運行的區域被稱為「域」）內，它們無法存取其他進程或資源（除非被授予特殊的權限）。

透過使用此策略，可以更安全地共用列印伺服器、檔案伺服器、Web 伺服器或其他服務，同時降低因存取這些服務而對系統中其他資源造成不利影響的風險。

MLS 策略

MLS，是Multi-Level Security 的縮寫，該策略會對系統中的所有程序進行控制。啟用 MLS 之後，使用者即便執行最簡單的指令（如 ls），都會報錯。

Minimum 策略

#Minimum 策略的意思是“最小限制”，該策略最初是針對低記憶體電腦或裝置（比如智慧型手機）而創建的。

本質上來說，Minimun 和 Target 類似，不同之處在於，它只使用基本的策略規則套件。對於低記憶體裝置來說，Minumun 策略允許 SELinux 在不消耗過多資源的情況下運作。

注意，你自己所使用的 Linux 發行版本中，可用的策略規則可能與以上所列出的策略規則不完全相同。比方說，在較早的 Linux 發行版本中，仍然可以使用 strict 策略，但在較新的發行版本中，strict 策略被合併在 Targeted 策略中，此策略也是預設使用的策略規則。

那麼，我們要如何查詢目前系統中所使用的 SELinux 的策略是哪一種呢？這就要使用 sestatus 指令來查看了，指令如下：

[root@localhost ~]# sestatus
SELinux status： enabled
#SELinux启用
SELinuxfs mount： /selinux
#SELinux数据的挂载位置
Current mode： enforcing
#运行模式是强制模式
Mode from config file： enforcing
#配置文件所指定的模式也是强制模式
Policy version： 24
#策略版本
Policy from config file： targeted
#目前策略是针对性保护策略

相關推薦：《Linux影片教學》

#

以上是SELinux有哪3種策略類型的詳細內容。更多資訊請關注PHP中文網其他相關文章！