二零二三年 优质公开课SELinux概述.pptx

SELinux概述1. 了解SELinux概念和特点2. 熟悉SELinux基本词汇01SELinux介绍SELinux介绍 SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）在Linux开源社区的帮助下开发的一个强制访问控制（MAC，Mandatory Access Control）的安全子系统。Linux系统使用SELinux技术的目的是为了让各个服务进程都受到约束，使其仅能获取到本应获取的资源。 SELinux安全子系统能够从多方面监控违法行为：对服务程序的功能进行限制（SELinux域限制可以确保服务程序做不了出格的事情）；对文件资源的访问限制（SELinux安全上下文确保文件资源只能被其所属的服务程序进行访问）。SELinux域”和“SELinux安全上下文”是SELinux的双保险，使服务程序无法进行越权操作。02SELinux 的特点SELinux 的优点● 对访问的控制彻底化特点1：MAC(Mandatory Access Control）------对访问的控制彻底化对于所有的文件，目录，端口这类的资源的访问，都可以是基于策略设定的，这些策略是由管理员定制的，一般用户是没有权限更改的。● 对于进程只赋予最小的权限特点2：TE （Type Enforcement）------对于进程只赋予最小的权限TE概念在 SELinux里非常的重要。它的特点是对所有的文件都赋予一个叫type的文件类型标签，对于所有的进程也赋予各自的一个叫 domain的 标签。Domain标签能够执行的操作也是由access vector在策略里定好的。SELinux 的特点● 防止权限升级特点3：domain迁移 ------防止权限升级● 对于用户只赋予最小的权限特点4：RBAC（role -based access control) ------对于用户只赋予最小的权限对于用户来说，被划分成一些role，即使是root用户，你要是不在sysadm_r里，也还是不能实行sysadm_t管理操作的。因为，那些role可以执行那些domain也是在策略里设定的。role也是可以迁移的，但是也只能按策略规定的迁移。03SELinux 基本词汇SELinux 基本词汇● 主体（Subject） SELinux把进程称为主体。● 对象（Object）在SELinux世界中，所有可以被主体访问的资源，如文件、目录、进程、端口、设备等，都称为对象。● 类型(Type）SELinux允许为系统中的每一个主体或对象定义一个类型，通常以_t作为后缀。例如，default_表示默认类型，boot_t表示引导文件类型，device_t表示设备文件，httpd_t表示HTTP服务相关类型，unconfined_t表示未配置的类别。SELinux 基本词汇● 领域（Domain）定义进程的类型，称为领域。例如，httpd就是httpd_t领域的进程。● 用户（User）SELinux通过用户（User）代表某一些账号的识别数据，通常以_u作为后缀。例如system_u表示用户系统账户身份，user_u表示普通用户身份，root为根用户。● 角色(Role）角色用来代表某一些用户或对象的组合，通常以_r作为后缀。例如object_r这个角色就代表例如文件或设备的系统对象，user_r代表用户。SELinux 基本词汇● 安全原则（Security Policy）安全原则用来定义主体读取对象的规则数据库。安全原则中可以存储多条规则，每一条规则将记录哪个类型的主体使用哪个方法读取哪一个对象时是允许还是被禁止。目前RHEL7/CentOS7提供targeted，strict与mls三个安全原则，每一个安全原则的功能、用户与定位都不同。targeted：用来保护常见的网络服务。strict：用来提供符合基于角色的访问控制（RBAC）机制的安全性。mls：提供符合多级安全（MLS）机制的安全性。默认RHEL7/CentOS7自动安装targeted安全原则。● 安全上下文（Security Context）：安全上下文是一组与某一个进程或对象有关的访问控制属性，SELinux系统中的每一个进程与对象都会记录一条全上下文。安全上下文主要分为五个安全元素user、role、type、sensitivity、category。1. SELinux概念和特点2. SELinux基本词汇 ---主体、对象、类型、领域、用户、角色、安全原则、安全上下文本次课，我们学习SELinux相关知识主要目标了解了解SELinux概念和特点，熟悉SELinux基本词汇首先，我们来了解SELinux概念。 SELinux（Security-Enhanced