18.11 SELinux的3種策略類型

對于 SELinux 來說，所選擇的策略類型直接決定了使用哪種策略規則來執行主體（進程）可以訪問的目標（文件或目錄資源）。不僅如此，策略類型還決定需要哪些特定的安全上下文屬性。通過策略類型，讀者可以更精確地了解 SELinux 所實現的訪問控制。

SELinux 提供 3 種不同的策略可供選擇，分別是 Targeted、MLS 以及 MiNimum。每個策略分別實現了可滿足不同需求的訪問控制，因此，為了正確地選擇一個滿足特定安全需求的策略，就不得不先了解這些策略類型。

Target 策略主要對系統中的服務進程進程訪問控制，同時，它還可以限制其他進程和用戶。服務進程都被放入沙盒，在此環境中，服務進程會被嚴格限制，以便使通過此類進程所引發的惡意攻擊不會影響到其他服務或 Linux 系統。

沙盒（sandbox）是一種環境，在此環境中的進程可以運行，但對其他進程或資源的訪問會被嚴格控制。換句話說，位于沙盒中的各個進程，都只是運行在自己的域（進程所運行的區域被稱為“域”）內，它們無法訪問其他進程或資源（除非被授予特殊的權限）。

通過使用此策略，可以更加安全地共享打印服務器、文件服務器、Web 服務器或其他服務，同時降低因訪問這些服務而對系統中其他資源造成不利影響的風險。

MLS，是 Multi-Level Security 的縮寫，該策略會對系統中的所有進程進行控制。啟用 MLS 之后，用戶即便執行最簡單的指令（如 ls），都會報錯。

Minimum 策略的意思是“最小限制”，該策略最初是針對低內存計算機或者設備（比如智能手機）而創建的。

從本質上來說，Minimun 和 Target 類似，不同之處在于，它僅使用基本的策略規則包。對于低內存設備來說，Minumun 策略允許 SELinux 在不消耗過多資源的情況下運行。

注意，你自己所使用的 Linux 發行版本中，可用的策略規則可能與以上所列出的策略規則不完全相同。比如說，在較早的 Linux 發行版本中，仍然可以使用 strict 策略，但在較新的發行版本中，strict 策略被合并在 Targeted 策略中，此策略也是默認使用的策略規則。

那么，我們如何查詢當前系統中所使用的 SELinux 的策略是哪一種呢？這就要使用 sestatus 命令來查看了，命令如下：

[root@localhost ~]# sestatus SELinux status： enabled \#SELinux啟用 SELinuxfs mount： /selinux \#SELinux數據的掛載位置 Current mode： enforcing \#運行模式是強制模式 Mode from config file： enforcing \#配置文件所指定的模式也是強制模式 Policy version： 24 \#策略版本 Policy from config file： targeted \#目前策略是針對性保護策略

Linux 任務調度

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。