SELinux一直被认为是最安全的Linux系统,因为SELinux是由美国国家安全局开发的,有多层安全机制。那么SELinux安全机制有哪些?一起来看一下。
类型强制策略相比SELinux引入的MAC(强制访问控制)是比较遥远的。然而,在一些情况下,特别是在分类的政府应用的子集中,传统的MLS(多层安全机制)强制访问控制加上TE是非常有价值的。在意识到这个情形之后,SELinux也包括一些MLS的形式。在SELinux中,MLS的特征是可选的,并且相比两个强制访问控制机制来说是次要的。对于绝大部分安全应用来说,包括许多没有很少有数据分类的应用来说,对于增强型安全机制,TE策略是最合适的机制。尽管如此,MLS的添加也提高了一些应用的安全性。
MLS的实际实现是非常复杂的。被MLS系统使用的安全层是分层的敏感度和一系列非层次目录集合(包括空集合)的综合体。这些敏感度和目录被用来反映真实信息的机密性和用户许可。在大多数SELinux策略中,敏感度(s0,s1…)和目录(c0,c1…)被给予通用的名称,使用户空间程序和类库来分配用户有意义的名称。(例如,s0可能与UNCLASSIFIED相关联,s1可能与SECRET相关联。)
为了支持MLS,安全上下文被扩展包含安全层次,例如这些
user_r:role_type:sensitivity[:category,…][-sensitity[:catagory,…]]
……