如果安装了CentOS 5.x后,就可以体验SELinux了。今天看了《鸟哥的Linux私房菜》,了解了一下SELinux,简要笔记整理如下。
SELinux是“Security Enhanced LInux”的缩写,意思就是安全强化的Linux。我们知道在Linux下,对文件资源的权限访问是通过user/group,rwx来控制的。一旦用户拥有root权限,他就可以访问任何文件资源。这样存在的安全问题是,一旦root管理员误操作,将一些文件公开为drwxrwxrwx,那么其他用户的程序都可以访问控制了。SELinux的出现就是为了解决控制进程与权限的问题。其实SELinux是在进行进程,文件等权限设置依据的一个内核模块,它在进程访问资源之间设置了一道关卡。
1. 传统的文件权限与帐号关系:自主访问控制,DAC
在Linux中帐号分为系统管理员(root)与一般用户,而这两种身份能否使用系统上的文件资源与rwx的权限设置有关。而root用户可以访问一切资源。因此,某个进程想要访问某个文件,系统就会根据该进程的user/group,并比较文件的权限,若通过权限检查,就可以访问该文件了。
这种访问文件系统的方式被称为“自主访问控制”(DAC,discretionary access control),基本上,就是依据进程的所有者与文件资源的rwx权限决定有无访问的能力。但是它会带来一些上面提到的安全问题。
(1)root具有最高权限
(2)用户可以取得进程来修改文件资源的访问权限
2. 以策略规则指定特定程序读取特定文件:强制访问控制,MAC
SELinux引入了强制访问控制(MAC,mandatory access control)来避免DAC容易发生的问题。
MAC可以这对特定的进程与特定的文件资源来进行权限的控制。也就是说,即使你是root,那么在使用不同的进程时,你所能取得的权限不一定是root,而得看当时该进程的设置而定。如此一来,针对控制的主体不是用户而是进程了。这个主体进程也不能随意访问文件,每个文件资源也有这对该进程设置可读取的权限。这样控制权限就变细了,在SELinux中也提供了一些默认的策略(Policy),并在该策略内提供多个规则(rule),让你可以选择是否启用该控制规则。
SELinux是通过MAC方式来控管进程的,它控制的主体是进程,而目标则是该进程能否读取的文件资源。由于进程与文件数量庞大,因此SELinux会依据某些服务来制定基本的访问安全性策略。另外主体能不能访问目标除了策略指定以外,主体与目标的安全上下文必须一致才能顺利访问。这个安全上下文有点类似文件系统的rwx。
SELinux运行各组件之相关性(图摘自《鸟哥的linux私房菜》)