SELinux零知识学习十六、SELinux策略语言之类型强制(1)
接前一篇文章:SELinux零知识学习十五、SELinux策略语言之客体类别和许可(9)
二、SELinux策略语言之类型强制
SELinux策略大部分内容都是由多条类型强制规则构成的,这些规则控制被允许的使用权,大多数默认转换标志、审核、以及固定部分的检查。我们将详细地讨论类型强制规则以及这些规则使用的类型定义和声明。
1. 类型强制
SELinux策略大部分都是一套声明和规则一起定义的类型强制(Type Enforcement,TE)策略。一个定义良好的、严格的TE策略可能包括上千个TE规则,TE规则数量的巨大并不令人惊奇,因为它们表达了所有由内核暴露出的允许对资源的访问权,这就意味着每个进程对每个资源的访问尝试都必须至少有一条允许的TE访问规则。如果我们仔细思考一下现代Linux操作系统中进程和资源的数量,就会明白为什么在策略中有那么多的TE规则了。当我们添加TE规则控制的审核配置和标志时,对于具有严格限制的SELinux策略,常常会见到它包含有上千条规则。在此,我们先理解一下TE规则是如何工作的。
TE规则的绝对数量对理解SELinux策略是一个大的挑战,但是规则本身并不复杂,其分类相对较少,所有的规则基本上都属于两类范畴:访问向量(Access Vector,AV)和类型规则。我们使用AV规则允许或审核两个类型之间的访问权,在某些情况下使用类型规则控制默认的标记决定。
正如其名字所暗示的意思,TE规则通过安全上下文与所有资源联合一起对类型起作用,策略语言包括了另外的允许定义类型及其策略组件的语句。
SELinux的一个重要概念是TE规则是将权限与程序的访问结合在一起,而非结合用户。本章我们讨论的所有SELinux策略语言特性都是处理主体(正常运行中的进程)对客体(文件、目录和套接字)的访问权的,主要集中于程序访问控制决策。这也是SELinux的主要益处,其允许SELinux策略编写者基于程序的功能和安全属性,加上用户要完成任务需要的所有访问权做出访问决策,可以将程序限制到功能合适并且权限最小化的程度。因此,即使它出了故障或被攻击破坏,整个系统的安全并不会受到威胁。例如:如果一个Web服务器的策略阻止修改它显示的文件,那么即使服务器被攻破了,TE策略也能阻止被攻破的服务器修改那些文件。这样就消除了通过Web服务器的漏洞攻击造成对网站的威胁。只有被攻破的应用程序受到影响,并且它会被我们在策略中定义的访问权限制。
SELinux是不会管用户的,