第15讲权限、安全、备份与恢复学习课件.pptVIP

SELinux 传统Linux 的不足之处 １、特权用户root 存在风险。任何人只要得到root 的权限，对于整个系统都可以为所欲为。 ２、文件的访问权限的划分仍不够细。Linux 系统里，对于文件的操作，只有“所有者”、“所有组”和“其他”这３类用户的划分。而“其他”这一类用户不能再细分了。 ３、SUID 程序的权限升级。如果设置了SUID 权限的程序有了漏洞的话，很容易被攻击者所利用。 ４、DAC[1]（Discretionary Access Control）问题。文件目录的所有者可以对文件进行所有的操作。 SELinux SELinux （扩张强制访问控制安全模块）的主要改进 １、对内核对象和服务的访问控制 ２、对进程初始化、继承和程序执行的访问控制 ３、对文件系统、目录、文件和打开文件描述的访问控制 ４、对端口、信息和网络接口的访问控制。 SELinux SELinux 的优点 MAC（Mandatory Access Control，强制访问控制）。是指用户与文件都有一个固定的安全属性，系统用该安全属性来决定一个用户是否可以访问某个文件。 TE（Type Enforcement，类型强制）。能有效地将操作系统与应用分开。 domain 迁移。防止权限升级。 RBAC（role base access control，基于角色的访问控制)。对用户只赋予最小的权限，用