SELinux学习 - 随笔分类 - 陈洪波

4.3 现在可用的客体类有哪些呢

摘要：在这一小节中我们将要介绍一下在FC4中可用的内核客体类．我们的目标是描述客体类并且描述清楚这些系统资源如何被映射到那些客体类上的．FC4系统有超过40个内核客体类，代表着内核提供的所有资源．客体类的数量阐述了在SELinux中尽可能完整并且精确地代表内核资源的思想．Linux的丰富度... 阅读全文

posted @ 2015-08-19 15:54 陈洪波阅读(215) 评论(0) 推荐(0)

4.2 在SELinux策略中定义客体类

摘要：一个策略中一定要包含被SELinux内核和其他客体管理器支持的所有客体类和权限的声明．通常来说，我们作为策略编写者，不用担心创建新的客体类．然而，我们需要理解被定义的客体类来编写出更有效率的SELinux策略．理解客体类和权限声明语法是非常有用的，因为特允许我们理解我们正在使用的策略... 阅读全文

posted @ 2015-08-18 15:32 陈洪波阅读(375) 评论(0) 推荐(0)

4.1 在SELinux中客体类存在的目的

摘要：客体类和他们相关的权限是SELinux中访问控制的基础．客体类代表着是资源的类别例如文件和套接字，并且权限代表着对这些资源的访问，例如读和发送．理解客体类和权限是SELinux中一个比较困难的方面，因为他继续要Linux的知识，也需要SELinux的知识．一个客体类代表着一个确定类型... 阅读全文

posted @ 2015-08-18 11:01 陈洪波阅读(253) 评论(0) 推荐(0)

3.4 summary

摘要：SELinux在内核中是以LSM模型实现的．SELinux使用贯穿内核的LSM钩子来控制内核资源的访问．访问决策是由SELinux的安全服务器制定的，安全服务器是SELinux的LSM模型的一部分．被安全服务器强制执行的安全策略通过一个特权级的用户空间接口加载到内核中．AVC为访问验... 阅读全文

posted @ 2015-08-18 09:05 陈洪波阅读(160) 评论(0) 推荐(0)

3.3 SELinux策略语言

摘要：3.3.1 本地SELinux策略语言编译器为内核构建一个策略文件最基本的方法就是从源策略文件中使用checkpolicy程序编译他．这个以很多步骤构建的源程序，被命名为”policy.conf”．CheckPolicy检查源策略文件在语法和语义上的正确性，并把结果以一定的形式（被... 阅读全文

posted @ 2015-08-17 16:28 陈洪波阅读(879) 评论(0) 推荐(0)

3.2.用户空间客体管理器

摘要：SELinux体系结构的一个非常强大的特征就是，它不仅能应用到用户空间资源也能应用到内核资源。的确，他来源于对微内核的研究，在微内核中，大多数资源都是被用户空间服务器管理的。在Linux中能够对资源进行强制访问控制的用户空间服务器的例子有X服务和数据库服务。这些服务器都提供强制安全所... 阅读全文

posted @ 2015-07-28 09:25 陈洪波阅读(206) 评论(0) 推荐(0)

3.1. 内核体系结构

摘要：SELinux对所有的内核资源都提供了强制访问控制。在他当前的格式下，SELinux是通过LSM框架合并到内核中的。3.1.1. LSM框架LSM框架背后的思想是允许安全模块插入到内核中以便能够更好的控制Linux默认的基于身份的任意访问控制安全模式。在内核系统调用逻辑中，LSM提供... 阅读全文

posted @ 2015-07-15 14:46 陈洪波阅读(207) 评论(0) 推荐(0)

总结

摘要：1：SELinux的访问控制是基于所有系统资源包括进程的安全上下文。安全上下文包含三个元素：用户，角色和类型标识符。类型标识符是访问控制最关键的元素。在SELinux中，强制访问控制（TE）是访问控制主要的特征。通过指定主体的标识（也被称作域标识）作为源和客体的标识作为目的的al... 阅读全文

posted @ 2015-05-15 23:02 陈洪波阅读(88) 评论(0) 推荐(0)

SELinux的功能熟悉

摘要：此时，玩SELinux系统就有些价值了。例如，我们使用一个带有严格策略的Fedora Core 4 的发行版。这些大多数例子基本上都能在Red hat Enterprise Linux version 4或者是Fedora Core 5上运行了。虽然可能有些不同，但是你也可能能够使用... 阅读全文

posted @ 2015-05-10 02:17 陈洪波阅读(414) 评论(0) 推荐(0)

SELinux的多层安全机制

摘要：类型强制策略相比SELinux引入的MAC（强制访问控制）是比较遥远的。然而，在一些情况下，特别是在分类的政府应用的子集中，传统的MLS（多层安全机制）强制访问控制加上TE是非常有价值的。在意识到这个情形之后，SELinux也包括一些MLS的形式。在SELinux中，MLS的特征是... 阅读全文

posted @ 2015-05-07 02:32 陈洪波阅读(253) 评论(0) 推荐(0)

The role of Roles

摘要：SELinux也提供了可一种基于角色的访问控制(RBAC,Role-based access control)。SELinux的RBAC的特征是建立在TE基础上的。在SELinux中的访问控制在根本上是TE，即类型强制访问策略。角色能够限制一个进程转换后的类型，该类型是在进程安全上下... 阅读全文

posted @ 2015-05-07 01:28 陈洪波阅读(181) 评论(0) 推荐(0)

Type enforcement(类型强制访问控制)

摘要：（一）、简介在SELinux中，所有的访问都要被明确的同意。SELinux默认的是没有访问，不管Linux的用户ID和组ID是什么。是的，这就意味着在SELinux中没有默认的超级用户，不像在标准Linux中的root用户。被同意的访问的方式是由主体的类型（也就是域）和客体的类型使用... 阅读全文

posted @ 2015-04-25 16:18 陈洪波阅读(731) 评论(0) 推荐(0)

安全上下文

摘要：（一）、类型强制策略的安全上下文所有的操作系统访问控制都是基于与主体和客体相关的访问控制属性的。在SELinux中，访问控制属性杯称作安全上下文。所有的客体（文件，进程间通信，通信管道，套接字，网络主机等）和主体（进程）有一个和他们相关的单一安全上下文。一个安全上下文有三个... 阅读全文

posted @ 2015-04-21 21:05 陈洪波阅读(924) 评论(0) 推荐(0)

selinux第一节

摘要：（一）：selinux简介selinux是security enhancement linux的简称，从字面意思说就是安全增强型linux，这种增强能够有效的减轻有缺陷的应用软件所出现的问题，包括那些没有被发现的或者是被创建的缺陷。同时，这种增强也能够强化很多安全目标，从数据保密... 阅读全文

posted @ 2015-04-21 16:34 陈洪波阅读(200) 评论(0) 推荐(0)

陈洪波

随笔分类 - SELinux学习

公告