qdi*_*dii 6 linux security ext4 kernel-modules
在 Gnome 密钥环的 Gentoo 安装过程中,我被告知要打开 EXT4 安全标签,内核文档中对此进行了描述:
安全标签支持由 SELinux 等安全模块实现的替代访问控制模型。此选项为 ext4 文件系统中的文件安全标签启用扩展属性处理程序。
该文档并没有多大帮助,因为我现在了解到它启用了一个属性处理程序,该处理程序将反过来为 ext4 文件系统启用安全标签。我可以从功能的名称中推断出这一点。那些标签是什么?他们如何提高安全性?
安全标签表明SELinux需要完成其工作。将它们视为文件权限和所有权的非常非常广泛的概括。提高安全性的是 SELinux,而不是安全标签本身。
安全标签是与文件关联的元数据。他们有形式user:role:type[:level[:category]]。作为比较,传统的 Unix 权限具有以下形式user:group rwxrwxrwx。文件上的安全标签指定其 SELinux 上下文。
正在运行的进程具有安全上下文,该安全上下文是根据可执行文件上的安全标签和调用者的上下文计算得出的。文件还具有根据其安全标签计算的安全上下文。当主体(进程)尝试访问对象(文件)时,内核会检查 SELinux 策略是否允许主体的上下文访问该对象。
如果您希望 SELinux 策略能够让您实际运行系统,那么编写 SELinux 策略是非常复杂的,更不用说提供额外的安全性了。这就是为什么没有多少 Linux 系统在强制模式下采用 SELinux。
有关更多信息,请参阅: