0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

SELinux策略语言是什么

麦辣鸡腿堡 来源:TrustZone 作者:TrustZone 2023-10-31 14:58 次阅读

SELinux策略语言

SELinux架构中,对于内核资源,策略通过策略管理接口载入SELinux LSM模块安全服务器中,从而决定访问控制。

SELinux的优势是其策略规则不是静态的,用户必须按照安全目标的要求自行编写策略。使用和应用SELinux本质上就是编写和执行策略的过程。

策略在策略源文件中描述。策略源文件名称为policy.conf,其文件结构包括以下几点。

•(1)类别许可,指安全服务器的客体类别,对于内核而言,类别直接关系内核源文件,许可指针对每个客体类别的许可。通常,SELinux策略编写者不会修改客体的类别和许可定义。

•(2)类型强制声明,包括所有的类型声明和所有的TE(Type Enforcement,类型强制)规则,是SELinux策略中最重要的部分。

•(3)约束,是TE规则许可范围之外的规则,为TE规则提供必要的限制。多级安全(MLS)是一种约束规则。

•(4)资源标记说明,指对所有客体都必须添加的一个“安全上下文”标记,是SELinux实施访问控制的前提。SELinux根据资源标记说明处理文件系统标记以及标记运行时创建的临时客体规则。

SELinux策略大而复杂,由一个个小的策略模块构成。

策略模块的生成一般采用源模块法。源模块法支持单策略的开发,并通过一组shell脚本、m4宏和Makefile一起合并成为文本文件。

多个策略模块集合组成策略源文件,即policy.conf,策略源文件是文本文件,通过策略编译器checkpolicy编译为二进制文件policy.xx(xx为版本号),并通过策略装载函数security_load_policy载入内核且实施访问控制。

使用源模块构造和载入SELinux策略的全过程如图所示。

图片

•首先,通过源模块法生成一个个策略模块,策略模块聚合形成一个大的策略源文件policy.conf;

•其次,策略源文件policy.conf通过策略编译器checkpolicy,生成可被内核读取的二进制文件policy.xx;

•最后,policy.xx通过策略装载函数security_load_policy载入内核空间并实施访问控制。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 内核
    +关注

    关注

    3

    文章

    1367

    浏览量

    40252
  • Linux
    +关注

    关注

    87

    文章

    11236

    浏览量

    209024
  • 源文件
    +关注

    关注

    0

    文章

    30

    浏览量

    4585
  • 系统
    +关注

    关注

    1

    文章

    1012

    浏览量

    21322
收藏 人收藏

    评论

    相关推荐

    OpenHarmony中SELinux使用详解

    某个远程用户可以访问系统的敏感文(如/etc/dev)。如果我们的Linux系统启用了SELinux,而查询SELinux策略得知,这个服务进程并不具备访问敏感文件(/etc/dev)的权限,所以这个
    发表于 04-03 10:43

    FPGA缩略语

    FPGA缩略语表,大家可以看看,有时候老忘记,彼此学习一下
    发表于 04-01 17:01

    一种基于策略元素三元组的策略描述语言

    分析常用策略描述语言的缺点,总结策略的主要配置方式,分析策略的组成成员,提出策略主要元素ECA三元组并给出其关系,设计一种基于ECA的
    发表于 04-09 09:22 19次下载

    信任特征在SELinux策略服务器中的设计与应用

    SELinux策略服务器在安全性和脆弱性方面存在的问题进行分析,基于可信计算提出信任特征的概念,将其引入到SELinux策略服务器的设计中,给出一种基于信任特征的
    发表于 04-21 09:11 14次下载

    电子类缩略语-专业术语解释

    电子类缩略语及专业术语解释。
    发表于 07-05 15:48 0次下载

    CDMA缩略语大全

    CDMA缩略语大全 AC    鉴权中心BITS  局内综合定时供给系统BS    基站BSID0 基站识
    发表于 05-21 00:19 675次阅读

    音响、家电常用缩略语大全

    音响、家电常用缩略语大全 AC:交流 A/D:摸(拟)/数(字)转换 A:音频 AIN:音频输入
    发表于 03-31 16:02 835次阅读

    电子类缩略语大全

    非常全面的电子类缩略语,设计不可缺少的资料。
    发表于 11-17 11:24 0次下载

    谷歌Fuchsia编辑语言策略介绍

    谷歌新一代开源操作系统 Fuchsia 的开发者网站上公布了一份 Fuchsia 编辑语言策略,文档描述了 C、C++、Dart、Rust 与 Go 的优劣势,并明确指定了其中哪些语言将会在 Fuchsia 开发生态中得到怎样程
    的头像 发表于 02-26 15:14 2463次阅读
    谷歌Fuchsia编辑<b class='flag-5'>语言</b><b class='flag-5'>策略</b>介绍

    OPA为云原生组织提供了统一的策略语言

    授权策略无处不在,因为几乎每个应用程序都需要授权策略。但是,开发人员通常会“滚动自己的”代码,这不仅耗时,而且会导致难以维护的工具和策略拼凑而成。尽管授权对于每个应用程序都是至关重要的,但是花在创建
    的头像 发表于 08-06 15:58 1529次阅读

    Android4.4的SELinux即将从授权模式更改为强制模式你能使用的习惯吗

    除了Android 4.4 KitKat中已添加的各种以用户为中心的功能外,Google还通过许多重大更改大大改善了该平台的整体安全性。 除其他事项外,Android 4.3中已经引入了有关SELinux的重要更改。 但是,Android4.4将SELinux的状态从“授
    发表于 09-06 09:54 1048次阅读

    什么是SELinuxSELinux如何工作?

    SELinux 是一种安全增强型 Linux 安全模块,用于控制 subjects(例如程序、进程等)访问 objects(例如文件、设备等)的权限和可访问性。
    的头像 发表于 05-15 09:48 1184次阅读

    SELinux基本概念介绍

    分为3种,即disabled、permissive和enforcing。 •(1)disabled状态:指在Linux系统中不启用SELinux模块的功能。 •(2)permissive状态:指在Linux系统中,SELinux模块处于Debug模式,若操作违反
    的头像 发表于 10-31 14:42 1056次阅读

    SELinux内核架构

    SELinux可作为可加载的安全模块运行。 LSM是一个底层的安全策略框架,Linux系统利用LSM管理所有的系统调用。SELinux通过LSM框架整合到Linux内核中。 当用户进程执行系统调用
    的头像 发表于 10-31 14:50 475次阅读
    <b class='flag-5'>SELinux</b>内核架构

    恒讯科技分析:Linux系统的vps服务器怎么关闭selinux

    SELinux: 打开终端。 输入以下命令来更改SELinux的模式: sudo setenforce 0 这将SELinux设置为宽容模式,即不会强制执行SELinux
    的头像 发表于 07-17 13:29 466次阅读