第534页

SELinux 初探

以策略规则指定特定程序读取特定文件：委托访问控制,MAC
SELinux导入了强制访控制(Mandatory Access Control, MAC)

MAC可以针对特定的进程与特定的文件资源来进行权限的控制。

SELinux 的运行模式

SELinux通过MAC的方式来控管进程，它控制的主体(Subject)是进程，目标(Object)是该进程能否读取的“文件资源”

策略(Policy)
CentOS 5.x提供两个主要策略：
targeted：针对网络服务限制较多，针对本机限制较少，是默认策略；
strict：完整的SELinux限制，限制方面较为严格。
建议使用默认的targeted策略

安全上下文(Security context)
SELinux 运行的各组件之相关性

查看安全上下文可以用“ls -Z”
[root@www ~]# ls -Z
drwxr-xr-x  root root root:object_r:user_home_t  Desktop
# 上述特殊字體的部分，就是安全性本文的內容！

Identify:role:type
身份識別:角色:類型

身份标识(Identify)
root: 表示root的帐号身份
system_u：表示系统程序方面的标识，通常为进程；
user_u：表示一般用户帐号相关的身份
系统上大部分数据会是system_u和root，而在/home下的数据，则大部分是user_u

角色(Role)
object_r：代表的是文件或目录等文件资源，最常见；
system_r：代表的是进程，不过一般用户也会被指定为system_r。

类型(Type, 最重要)
type: 在文件资源(Object)上面称为类型(Type)；
domain: 在主体程序(Subject)上，则称为域(domain).
domain需要与type搭配，则该程序才能够顺利读取文件资源。
主体进程取得的domain与目标文件资源的type相互关系
1.首先，我们触发一个可执行的目标文件，那就是具有httpd_exec_t这个类型的/usr/sbin/httpd文件；
2.该文件的类型会让文件所造成的主体进程具有httpd这个域
3.由于httpd domain被设置为可以读取httpd_sys_content_t这个类型的目标文件，因此在/var/www/html/目录下的文件能被httpd这个进程所读取；
4.最终能不能读到正确的数据，还得要看rwx是否符合Linux权限的规范。