什么是 EXT4 安全标签?

什么是 EXT4 安全标签?

在 Gentoo 安装 Gnome 密钥环期间,我被告知要打开 EXT4 安全标签,内核文档对此进行了描述:

安全标签支持由 SELinux 等安全模块实现的替代访问控制模型。此选项为 ext4 文件系统中的文件安全标签启用扩展属性处理程序。

该文档并没有多大帮助,因为我现在了解到它启用了一个属性处理程序,而该属性处理程序又将为 ext4 文件系统启用安全标签。我可以从该功能的名称中推断出这一点。那些标签是什么?他们如何提高安全性?

答案1

安全标签是一种指示SELinux需要做好它的工作。将它们视为文件权限和所有权的非常非常广泛的概括。提高安全性的是 SELinux,而不是安全标签本身。

安全标签是与文件关联的元数据。他们有形式user:role:type[:level[:category]]。作为比较,传统的 Unix 权限具有以下形式user:group rwxrwxrwx。文件上的安全标签指定其 SELinux 上下文。

  • SELinux用户对应不同的系统组件,可能具有不同的权限。它们可以对应于 Linux 系统的用户,但这主要是系统用户的情况:所有真实用户通常都集中在单个 SELinux 用户下。
  • 角色对应于一类用户可以执行的一类操作。它们用于实现基于角色的访问控制
  • 类型对应于访问受到限制的特定操作或资源(或其集合)。
  • 级别实施多级安全
  • 类别实施多类别安全

正在运行的进程具有安全上下文,该安全上下文是根据可执行文件上的安全标签和调用者的上下文计算得出的。文件还具有根据其安全标签计算的安全上下文。当主体(进程)尝试访问对象(文件)时,内核会检查 SELinux 策略是否允许主体的上下文访问该对象。

如果您希望 SELinux 策略能够让您实际运行系统,那么编写 SELinux 策略是非常复杂的,更不用说提供额外的安全性了。这就是为什么没有多少 Linux 系统在强制模式下采用 SELinux。

有关更多信息,请参阅:

相关内容