深入了解SELinux:增强Linux系统安全性
1. 进程安全上下文与命令使用
在Linux系统中,进程的安全上下文在程序运行前就已设定,且取决于启动它的主体。如果某个守护进程有专门为其编写的SELinux策略,那么该进程会遵循此策略;若没有,则会被分配默认类型unconfined_t。
当用户(父进程)运行程序或应用时,新进程(子进程)会继承用户的安全上下文,但前提是用户被允许运行该程序。同样,一个进程运行另一个程序时,子进程也会继承父进程的安全上下文,从而在相同的域中运行。
若要更改程序运行的安全上下文,可以使用以下两个命令:
-runcon:通过选项确定用户、角色和类型(即域)来运行程序。不过使用该命令可能会引发一些问题,需谨慎使用。
-sandbox:在严格控制的域(即沙盒)中运行程序,能提供大量保护,还可灵活测试新程序。
2. 管理SELinux策略规则包
SELinux使用策略规则来判断主体是否有权限访问客体。这些规则被分组为策略包,也称为模块,并随SELinux一起安装。查看系统中策略模块的简便方法是使用semodule -l命令,它会列出所有策略模块及其当前版本号,示例如下:
# semodule -l abrt 1.2.0 accountsd 1.0.6 acct 1.5.1 ... xserver 3.8.4 zabbix
