前言
第一次听到selinux这块的知识,是在周若愚的课件上
第二点这块的知识不会整理太详细,毕竟重点不在这里。但要做到会用的程度
一、SeLinux的历史
SELinux 即Security-Enhanced Linux, 由美国国家安全局(NSA)发起, Secure Computing Corporation (SCC) 和 MITRE 直接参与开发, 以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制, 该系统最初是作为一款通用访问软件,发布于 2000 年 12 月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上, 目前已经成为最受欢迎,使用最广泛的安全方案.
二、Selinux组成&作用&模式
SELinux 包含五个基本组成:
* 用于处理文件系统的辅助模块, 即SELinuxFS.
* 集成Linux Security Modules 的hooks sets.
* Security Policy Database.
* Security Label 验证模块.
* Access Vector Cache (AVC), 访问向量缓存,以便提高验证速度.
作用:
* 严格限制了ROOT 权限, 以往ROOT “无法无天” 的情况将得到极大的改善.
* 通过SELinux 保护, 降低系统关键进程受攻击的风险, 普通进程将没有权限直接连接到系统关键进程.
* 进一步强化APP 的沙箱机制, 确保APP 难以做出异常行为或者攻击行为.
* 将改变APP 一旦安装, 权限就已经顶死的历史, APP 权限动态调整将成为可能.
SELinux 分成两种模式, 即Permissve Mode(宽容模式), 和 Enfocing mode(强制模式).
Permissive Mode 只通过Kernel Audit System 记录LOG, 但不真正拦截访问.
Enforcing Mode 在记录LOG 的同时,还会真正的拦截访问.
通常在调试时,我们会启用Permissive Mode, 以便尽可能的发现多的问题, 然后一次修正. 在真正量产时使用Enforcing mode, 来保护系统
三、遇到问题
//TODO