SELinux详解之第二章——MLS/MCS

最新推荐文章于 2025-03-03 07:00:00 发布
最新推荐文章于 2025-03-03 07:00:00 发布
阅读量5.3k 收藏 15
点赞数 1
分类专栏: SELinux 文章标签: linux selinux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41115702/article/details/106265256
版权
本文深入解析了SELinux中的MLS(多层安全)和MCS(多类别安全)技术,介绍了安全等级的组成部分,包括敏感度级别和类别,并详细解释了等级的表示格式。内容涵盖MLS/MCS的访问控制规则,如何在SELinux中启用和使用MLS/MCS,以及如何修改主体和对象的安全等级标签。此外,还强调了在实验过程中确保系统安全的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基本介绍

MLS&MCS(Multi-Level Security and Multi-Category Security)多层安全技术是指强制实施Bell-La Padula强制访问模型的安全方案。在MLS下,用户和进程称为Subject(主体),文件、设备和系统的其他组件称为Object(对象)。主体和对象都标有安全级别,每个安全级别都由一个敏感度和一个类别组成。在SELinux的情况下,一个进程(以“机密”级别运行)可以按当前级别进行读/写,但只能读取低级别的文件,或者写更高级别的文件(在被许可的情况下)。一个进程访问不同安全等级文件的示意图如下:
在这里插入图片描述

安全等级的组成部分

MLS / MCS 表示格式

以下是SELinux中MLS/MCS等级表示的示意图:
在这里插入图片描述

其中各字段含义如下:

  • sensitivity - 敏感度级别是分级的,一般来说s0最低。这些值是使用敏感性声明定义的。传统上,MLS系统的最大值是s15(尽管“参考策略”的最大值是构建时间选项)。对于MCS系统,仅定义了一个灵敏度,即s0。
最低0.47元/天 解锁文章
SELinux - MCS
chuifuhuo6864的博客
11-16 365
1. 简介 多类安全 (MCS: Multi-Category Security)是一个增强的SELinux,允许用户使用类别来标记文件。 ...
SELinux Targeted、MLS和Minimum策略
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 882
对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型还决定需要哪些特定的安全上下文属性。通过策略类型,读者可以更精确地了解 SELinux 所实现的访问控制。 SELinux 提供 3 种不同的策略可供选择,分别是Targeted、MLS以及MiNimum。每个策略分别实现了可满足不同需求的访问控...
Linux系统之SELinux详解
最新发布
weixin_56303229的博客
03-03 2221
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程和用户只能执行那些被明确允许的操作。
Android Selinux权限之MLS
weixin_44021334的博客
12-20 1520
Selinux MLS 相关的在 国内Andoriod 官网未找到,只有博客的说明。源码在截取部分,
SELinux 安全模型——MLS
weixin_46645613的博客
01-01 1278
BLP 模型:于1973年被提出,是一种模拟军事安全策略的计算机访问控制模型,它是最早也是最常用的一种多级访问控制模型,主要用于保证系统信息的机密性,是第一个严格形式化的安全模型暂时无法在飞书文档外展示此内容多层安全的核心:“”,所以只能向上写数据,从下层读数据,或者同级之间读写数据。此图有四个安全级别,由低到高分别为:unclassified → restricted → confidential → secret。
SELinux - Multi-Level Security (MLS)
MyArrow的专栏
08-12 7421
1. 简介     保护敏感和机密信息在商业领域、军事、情报机构和政府等领域都是至关重要的。在同一台计算机上放置不同安全级别的信息构成了真正的威胁。如果为不同安全级别的信息购买相应的系统,这代价是相当昂贵的。为了解决此问题,需要一个机制,使在不同的安全级别的用户同时访问系统时,系统没有信息污染的恐惧。 2. 为什么需要多级?      多级来源于
SELinux详解之第一章——基本介绍
星留影的刹那间
05-20 4243
SELinux是什么? SELinux全称Security Enhanced Linux(安全性增强Linux),意在现有的Linux系统中额外增加一层安全控制层面,主要就是在解决某某应用是否可访问某某文件的问题。SELinux通常是和Linux自带的DAC(目录权限控制)(也就是平常ls后看到的rwx之类的)一起工作。SELinux实现了MAC(强制访问控制),即为系统中每个文件和进程打上标签SELinux上下文标签,在进程对文件进行访问时,对标签进行检测,查看是否有可以访问。 使用SELinux的好处
selinux中文手册和详细解说
11-15
通过阅读**SELinux详解** 和 **SELinux中文** 这两份文档,初学者可以全面了解SELinux的工作原理,并掌握实际操作中的技巧和最佳实践。这些资料对于系统管理员、安全专家或者任何希望提升Linux系统安全性的人员来说...
SELinux详解.pdf
11-22
SELinux(Security-Enhanced Linux)是一种安全模块,最初由美国国家安全局(NSA)...随着本书《SELinux详解》的指引,读者能够学习如何编写和管理SELinux安全策略,从而确保他们的Linux应用程序、系统和网络的安全性。
A Logical Specification and Analysis for SELinux MLS Policy
01-20
ABSTRACT The SELinux mandatory access control (MAC) policy has recently added a multi-level security (MLS) model which is able to express a fine granularity of control over a subject’s access rights. The problem is that the richness of this policy makes it impractical to verify, by hand, that a given policy has certain important information flow properties or is compliant with another policy. To address this, we have modeled the SELinux MLS policy using a logical specification and implemented that specification in the Prolog language. Furthermore, we have developed some analyses for testing the properties of a given policy as well an algorithm to determine whether one policy is compliant with another. We have implemented these analyses in Prolog and compiled our implementation into a tool for SELinux MLS policy analysis, called PALMS. Using PALMS, we verified some important properties of the SELinux MLS reference policy, namely that it satisfies the simple security condition and ?-property defined by Bell and LaPadula [2].
selinux-policy-mls-3.13.1-229.el7.noarch.rpm
12-01
离线安装包,亲测可用
SELinux Targeted模式下MCS的问题
Vantler的博客
10-16 464
首先是MLS/MCS的介绍: MLS:https://blog.csdn.net/MyArrow/article/details/9924293 MLS/MCS:https://blog.csdn.net/qq_41115702/article/details/106265256 其中MLS没啥好说的,需要专门开启MLS模式启用。 但是大部分测试时候,会发现MCS在targeted模式下是无效的 同时,同样运行在targeted模式下的虚拟机却拥有MCS隔离的功能(即MCS有效) 其中的核心原因在于:tar
selinux 启用mls策略
VMA_LMA的专栏
06-06 2891
http://www.jmatrix.org/selinux/349.html
SELinux深入理解
热门推荐
MyArrow的专栏
08-09 11万+
1. 简介     SELinux由以下两部分组成:     1) Kernel SELinux模块(/kernel/security/selinux)     2) 用户态工具 1.1 DAC与MAC的关键区别(root用户)       在SELinux(MAC)中,没有root用户的概念。安全策略是由【管理员】定义,并应用于每一个【进程】和【对象】,没有什么可以替代它。这意味着恶意
SELINUX(Security-Enhanced Linux 安全增强型Linux)(Enforcing、Permissive、Disabled)(targeted、minimum、mls
Dontla的博客
02-22 1261
Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies, including United States Department of Defense-style mandatory(强制的、义务的) access controls (MAC).
SELinux系列(十)——SELinux Targeted、MLS和Minimum策略
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
10-24 1197
目录 Selinux策略简介 Target 策略 MLS 策略 Minimum 策略 Selinux策略简介 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型还决定需要哪些特定的安全上下文属性。通过策略类型,读者可以更精确地了解 SELinux 所实现的访问控制。 SELinux 提供 3 种不同的策略可供选择,分别是 Targeted、MLS 以及 MiNimum。每个策略分别实现了可满足不同需求的访问
SELinux中文手册详解:入门学习指南
每个进程、文件和目录都有一个关联的安全上下文,这包括用户身份(User)、角色(Role)、类型(Type)和敏感度级别(MLS/MCS)。例如,一个文件的安全上下文可能是`system_u:object_r:bin_t:s0`,表示该文件属于`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值