目录
6. 定义一条 SELinux 文件上下文规则,以便将 /custom 目录及目录中所有文件的上下文类型设置为 httpd_sys_content_t。
1. SELinux 是如何保护资源的?
SELinux 通过实施强制访问控制(MAC )来保护系统资源。
SELinux 基于安全策略规则对进程和文件进行访问控制,以确保系统中的每个主体(如进程、用户)只能执行其授权的操作,即使这些主体具有其他权限也不能越权访问。
SELinux 通过强制策略强制执行访问控制,即使有攻击者在系统内部,也能减少因此造成的风险。
2. 什么是自由决定的访问控制(DAC)?它有什么特点?
(1)自由决定的访问控制(DAC):
自由决定的访问控制(DAC)是一种基于主体(例如用户)对对象(例如文件)的所有权来控制访问的机制。
在 DAC 中,每个对象都有一个所有者,并且该所有者决定谁可以访问该对象以及如何访问。
(2) DAC 的特点包括:
① 访问权限是由对象的所有者分配的,所有者可以自由决定授权;
② 每个主体对自己的资源拥有完全的控制权,包括授予其他主体访问权限的能力;
③ DAC 可能会导致权限管理上的复杂性和风险,特别是在多用户环境或者对高安全性要求的系统中。
3. 什么是强制访问控制(MAC)?它有什么特点?
(1)强制访问控制(MAC):
强制访问控制(MAC )是一种更为严格和中心化的访问控制机制,它不像 DAC 那样基于对象的所
有权,而是 由系统管理员定义的安全策略规则来控制访问。
(2) MAC 的特点包括:
① 访问权限不是由资源的所有者决定,而是由系统管理员定义的安全策略规则强制执行;
② MAC 可以通过策略来保护系统中的关键资源,确保即使用户或者进程具有某些权限,也不能越权访问敏感资源;
③ MAC 提供了更高级别的安全性,但在实施和管理上可能需要更多的配置和理解。
4. 什么是 SELinux 上下文?
SELinux 上下文是用于标识和控制对象(如文件、进程)访问权限的关键元数据。
5. setenforce 0 命令的作用是什么?
setenforce 0 命令用于临时将 SELinux 安全策略设置为宽松模式(Permissive Mode)。
这样SELinux 将记录但不强制执行安全策略,允许管理员在不影响生产环境的情况下调试和测试SELinux 的策略规则。
6. 定义一条 SELinux 文件上下文规则,以便将 /custom 目录及目录中所有文件的上下文类型设置为 httpd_sys_content_t。
# 设置 /custom 目录的上下文类型为 httpd_sys_content_t
# semanage fcontext -a -t httpd_sys_content_t "/custom(/.*)?"
# 应用(还原)上下文规则到文件系统
# restorecon -Rv /custom