第534页
ClarenceAu (Stay Hungry Stay Foolish)
读过 鸟哥的Linux私房菜
- 页码:第534页
SELinux 初探 以策略规则指定特定程序读取特定文件:委托访问控制,MAC
MAC可以针对特定的进程与特定的文件资源来进行权限的控制。 SELinux 的运行模式 SELinux通过MAC的方式来控管进程,它控制的主体(Subject)是进程,目标(Object)是该进程能否读取的“文件资源” 策略(Policy) CentOS 5.x提供两个主要策略: targeted:针对网络服务限制较多,针对本机限制较少,是默认策略; strict:完整的SELinux限制,限制方面较为严格。
安全上下文(Security context)
查看安全上下文可以用“ls -Z” [root@www ~]# ls -Z drwxr-xr-x root root root:object_r:user_home_t Desktop # 上述特殊字體的部分,就是安全性本文的內容! Identify:role:type 身份識別:角色:類型 身份标识(Identify) root: 表示root的帐号身份 system_u:表示系统程序方面的标识,通常为进程; user_u:表示一般用户帐号相关的身份
角色(Role) object_r:代表的是文件或目录等文件资源,最常见; system_r:代表的是进程,不过一般用户也会被指定为system_r。 类型(Type, 最重要) type: 在文件资源(Object)上面称为类型(Type); domain: 在主体程序(Subject)上,则称为域(domain).
109人阅读
说明 · · · · · ·
表示其中内容是对原文的摘抄