11 2使用 SELinux提升内核安全性 2.2 SELinuX能够干什么 MAC 进程 DAO 以用户身份 操作系统通过 Rule 运行的程 序,拥有该 通过对文件权 用户对应属 限进行检查, R 决定是否可以 其他三类权 中角色的权限 Rule Rule 通过Rue对进程访 问对象进行显性的 权限定义 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 11 2.2 SELinux能够干什么
12 User-space Process makes a System Call User Space Service System call Kernel Space Failed Denied Allowed Check for Errors DAC Checks LSM Hook K SELinux Security Access Module Server, A VC and Policy Retum from System Call Figure 2.3: Processing a System Call- The dac checks are carried out first, if they pass then the Security Server is consulted for a decision
12
13 2使用 SELinux提升内核安全性 2.2 SELinuX能够干什么 口 SELinux的作用 采用最小权限原则 最大限度地减小系统中服务进程可访问的资源 按照MAC模型的定义 最安全的系统,就是任何人都无法做任何事情。 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 SELinux的作用 ◼ 采用最小权限原则 ◼ 最大限度地减小系统中服务进程可访问的资源 13 2.2 SELinux能够干什么 按照MAC模型的定义 最安全的系统,就是任何人都无法做任何事情
14 收放自如进退裕如 通过精准需求调研和科学评估业务,实现网络与信息安全和业务灵活可用的平衡
14 收放自如 进退裕如 通过精准需求调研和科学评估业务,实现网络与信息安全和业务灵活可用的平衡
15 2使用 SELinux提升内核安全性 22 SeLinuX能够干什么 ¤基于 SELinux安全策略的操作系统中,用户运行的进程不能直接访问到系统中 的任何文件、目录、端口。 首先,操作系统会检查用户权限是否允许访问(DAC控制权限) 如果权限允许,继续检测 SELin的强制访问控制策略是否允许(MAC访问控制) ■如果策略允许,进程可访问到某对象 绝 拒绝 用 DAC MAC 检测用产权限 检测强布访问策略 访问文件、目录等对象 操作系统 SeLinux 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 基于SELinux安全策略的操作系统中,用户运行的进程不能直接访问到系统中 的任何文件、目录、端口。 ◼ 首先,操作系统会检查用户权限是否允许访问(DAC控制权限) ◼ 如果权限允许,继续检测SELinux的强制访问控制策略是否允许(MAC访问控制) ◼ 如果策略允许,进程可访问到某对象 15 2.2 SELinux能够干什么 DAC MAC