SELinux通過強制訪問控制(MAC)防止越權訪問�,核心機制如下:
- 安全上下文標記
為進程���、文件��、端口等對象分配包含用戶����、角色�����、類型的安全標簽(如httpd_t進程�����、httpd_sys_content_t文件類型)��,作為訪問控制的基礎�����。
- 策略規則匹配
通過預定義策略(如targeted策略)規定主體(進程)與客體(資源)的訪問權限��,例如“允許httpd_t進程讀取httpd_sys_content_t類型的文件”��,策略規則優先于傳統DAC權限���。
- 訪問控制流程
進程訪問資源時�,先檢查DAC權限���,再通過SELinux驗證上下文是否符合策略:
- 若策略允許���,允許訪問���;
- 若策略拒絕���,直接攔截并記錄審計日志(如
/var/log/audit/audit.log)�。
- 最小權限原則
默認拒絕所有未明確允許的操作����,僅開放必要權限���,避免進程越權訪問敏感資源(如限制Web服務器僅能訪問其配置目錄)��。
關鍵工具:
getenforce/setenforce:查看/切換SELinux模式(Enforcing為強制模式�����,Permissive為僅記錄模式)���。chcon/semanage:臨時/永久修改對象的安全上下文�����。audit2allow:分析拒絕日志并生成合規的策略模塊���。
