深入了解 Linux 安全:SELinux、AppArmor 与防火墙配置
1. 基于上下文的权限管理
在 Linux 系统中,为了进一步增强安全性,许多发行版提供了额外的安全层,主要以 SELinux 或 AppArmor 的形式实现。这两种机制都采用基于上下文的权限管理,与默认的直接授予用户或组访问文件的方式不同,它们结合进程和文件的多种信息来进行访问控制决策。
1.1 强制访问控制(MAC)
MAC 是一种通过比较对象的安全标识和主体(用户或其他实体)的安全许可来控制访问的模型。文件和其他资源会根据其敏感性被分配不同级别的安全标签,主体也有相应的安全级别或许可。当主体尝试访问对象时,其许可级别必须与对象的安全级别相匹配,否则将被拒绝访问。与 Linux 默认的自主访问控制(DAC)不同,DAC 中每个对象都有一个允许访问的实体列表,且对象所有者可以直接更改该列表。
1.2 SELinux
Security - Enhanced Linux(SELinux)是 CentOS 和 Red Hat Enterprise Linux 的默认基于上下文的权限方案,也可在其他发行版中选择使用。它由美国国家安全局(NSA)开发,为文件系统和网络提供额外的安全保护,防止未经授权的进程访问或篡改数据、绕过安全机制、违反安全策略或执行不可信程序。
- SELinux 上下文:SELinux 为每个文件和进程定义了三个主要上下文,用冒号分隔。
- 用户(User):定义哪些 SELinux 用户可以访问对象,与 Linu
