目录
6. 定义一条 SELinux 文件上下文规则,以便将 /custom 目录及目录中所有文件的上下文类型设置为 httpd_sys_content_t。
1. SELinux 是如何保护资源的?
SELinux 通过实施强制访问控制(MAC
)来保护系统资源。
SELinux 基于安全策略规则对进程和文件进行访问控制,以确保系统中的每个主体(如进程、用户)只能执行其授权的操作,即使这些主体具有其他权限也不能越权访问。
SELinux
通过强制策略强制执行访问控制,即使有攻击者在系统内部,也能减少因此造成的风险。
2. 什么是自由决定的访问控制(DAC)?它有什么特点?
(1)
自由决定的访问控制
(DAC):
自由决定的访问控制(DAC)是一种基于主体(例如用户)对对象(例如文件)的所有权来控制访问的机制。
在 DAC
中,每个对象都有一个所有者,并且该所有者决定谁可以访问该对象以及如何访问。
(2)DAC
的特点包括:
① 访问权限是由对象的所有者分配的,所有者可以自由决定授权;
② 每个主体对自己的资源拥有完全的控制权,包括授予其他主体访问权限的能力;
③ DAC 可能会导致权限管理上的复杂性和风险,特别是在多用户环境或者对高安全性要求的系统中。
3. 什么是强制访问控制(MAC)?它有什么特点?
(1)
强制访问控制(
MAC
):
强制访问控制(MAC
)是一种更为严格和中心化的访问控制机制,它不像
DAC
那样基于对象的所有权,而是由系统管理员定义的安全策略规则来控制访问。
(2)MAC
的特点包括:
① 访问权限不是由资源的所有者决定,而是由系统管理员定义的安全策略规则强制执行;
② MAC 可以通过策略来保护系统中的关键资源,确保即使用户或者进程具有某些权限,也不能越权访问敏感资源;
③ MAC 提供了更高级别的安全性,但在实施和管理上可能需要更多的配置和理解。
4. 什么是 SELinux 上下文?
SELinux 上下文是用于标识和控制对象(如文件、进程)访问权限的关键元数据。
5. setenforce 0 命令的作用是什么?
setenforce 0 命令用于临时将 SELinux 安全策略设置为宽松模式(Permissive Mode)。
这样SELinux 将记录但不强制执行安全策略,允许管理员在不影响生产环境的情况下调试和测试SELinux 的策略规则。
6. 定义一条 SELinux 文件上下文规则,以便将 /custom 目录及目录中所有文件的上下文类型设置为 httpd_sys_content_t。
#
设置
/custom
目录的上下文类型为
httpd_sys_content_t
# semanage fcontext -a -t httpd_sys_content_t "/custom(/.*)?"
#
应用(还原)上下文规则到文件系统
# restorecon -Rv /custom
本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » 【RH134知识点问答题】第6章 管理 SELinux 安全性
发表评论 取消回复