日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

創(chuàng)新互聯(lián)專注于盧龍網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供盧龍營銷型網(wǎng)站建設(shè)，盧龍網(wǎng)站制作、盧龍網(wǎng)頁設(shè)計(jì)、盧龍網(wǎng)站官網(wǎng)定制、微信小程序服務(wù)，打造盧龍網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供盧龍網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

需要注意的是，SELinux 的 MAC 并不會(huì)完全取代 DAC，恰恰相反，對(duì)于 Linux 系統(tǒng)安全來說，它是一個(gè)額外的安全層，換句話說，當(dāng)使用 SELinux 時(shí)，DAC 仍然被使用，且會(huì)首先被使用，如果允許訪問，再使用 SELinux 策略；反之，如果 DAC 規(guī)則拒絕訪問，則根本無需使用 SELinux 策略。

例如，若用戶嘗試對(duì)沒有執(zhí)行權(quán)限（rw-）的文件進(jìn)行執(zhí)行操作，那么傳統(tǒng)的 DAC 規(guī)則就會(huì)拒絕用戶訪問，因此，也就無需再使用 SELinux 策略。

相比傳統(tǒng)的 Linux DAC 安全控制方式，SELinux 具有諸多好處，比如說：

• 它使用的是 MAC 控制方式，這被認(rèn)為是最強(qiáng)的訪問控制方式；
• 它賦予了主體（用戶或進(jìn)程）最小的訪問特權(quán)，這也就意味著，每個(gè)主體僅被賦予了完成相關(guān)任務(wù)所必須的一組有限的權(quán)限。通過賦予最小訪問特權(quán)，可以防止主體對(duì)其他用戶或進(jìn)程產(chǎn)生不利的影響；
• SELinux 管理過程中，每個(gè)進(jìn)程都有自己的運(yùn)行區(qū)域（稱為域），各進(jìn)程僅運(yùn)行在自己的域內(nèi)，無法訪問其他進(jìn)程和文件，除非被授予了特殊權(quán)限。
• SELinux 可以調(diào)整到 Permissive 模式，此模式允許查看在系統(tǒng)上執(zhí)行 SELinux 后所產(chǎn)生的印象。在 Permissive 模式中，SELinux 仍然會(huì)記錄它所認(rèn)為的安全漏洞，但并不會(huì)阻止它們。

有關(guān) SELinux 模式設(shè)置等內(nèi)容，后續(xù)章節(jié)會(huì)詳細(xì)介紹。

其實(shí)，想要了解 SELinux 的優(yōu)點(diǎn)，最直接的辦法就是查看當(dāng) Linux 系統(tǒng)上沒有運(yùn)行 SELinux 時(shí)會(huì)發(fā)生什么事情。

例如，Web 服務(wù)器守護(hù)進(jìn)程（httd）正在監(jiān)聽某一端口上所發(fā)生的事情，而后進(jìn)來了一個(gè)請求查看主頁的來自 Web 瀏覽器的簡單請求。由于不會(huì)受到 SELinux 的約束，httpd 守護(hù)進(jìn)程聽到請求后，可以完成以下事情：

1. 根據(jù)相關(guān)的所有者和所屬組的rwx權(quán)限，可以訪問任何文件或目錄；
2. 完成存在安全隱患的活動(dòng)，比如允許上傳文件或更改系統(tǒng)顯示；
3. 可以監(jiān)聽任何端口的傳入請求。

但在一個(gè)受 SELinux 約束的系統(tǒng)上，httpd 守護(hù)進(jìn)程受到了更加嚴(yán)格的控制。仍然使用上面的示例，httped僅能監(jiān)聽 SELinux 允許其監(jiān)聽的端口。SELinux 還可以防止 httpd 訪問任何沒有正確設(shè)置安全上下文的文件，并拒絕沒有再 SELinux 中顯式啟用的不安全活動(dòng)。

因此，從本質(zhì)上講，SELinux 最大程序上限制了 Linux 系統(tǒng)中的惡意代碼活動(dòng)。