企业官网建设流程全解析

什么网站的注册是动态,建设部相关网站,dede 后门暴网站,交河做网站访问控制是操作系统信息安全的核心机制#xff0c;用于限制主体#xff08;进程、用户#xff09;对客体#xff08;文件、设备、端口#xff09;的访问权限。Linux 系统默认采用 DAC#xff08;自主访问控制#xff09;#xff0c;而高安全场景#xff08;如服务器、…访问控制是操作系统信息安全的核心机制用于限制主体进程、用户对客体文件、设备、端口的访问权限。Linux 系统默认采用DAC自主访问控制而高安全场景如服务器、车机、安卓设备会叠加MAC强制访问控制其中最主流的实现是SELinux其在安卓系统的移植版本为SEAndroid。一、Linux DAC 原理详解DACDiscretionary Access Control是 Linux/Unix 系统的基础访问控制机制核心是基于用户身份和文件权限位的自主管控也是用户最常接触的权限模型。1. 核心要素1主体与客体主体发起访问请求的实体包括用户User和进程Process。进程的权限继承自启动它的用户。客体被访问的实体包括文件、目录、设备文件、网络端口等。2用户与组的三类身份Linux 中每个文件都关联三类身份权限分别对应用户的访问范围属主Owner文件的创建者或被指定的用户用u表示。属组Group文件所属的用户组用g表示。其他用户Others既不是属主也不在属组的用户用o表示。3基础权限位rwx每个文件对三类身份分别定义读r、写w、执行x三种权限权限位共 9 位对应ls -l输出的权限字段如rwxr-xr--。权限字符数值表示文件含义目录含义r读4可读取文件内容可列出目录内文件lsw写2可修改 / 删除文件内容可创建 / 删除目录内文件mkdir/rmx执行1可运行程序 / 脚本可进入目录cd2. DAC 权限判断流程Linux 内核判断一个进程能否访问某个文件的优先级顺序如下检查进程的 有效 UID 是否为文件属主 UID如果是应用属主权限u段。若不匹配检查进程的 有效 GID 是否在文件属组内如果是应用属组权限g段。若都不匹配应用其他用户权限o段。只要任意一段权限满足访问需求如读操作需要r位则允许访问否则拒绝核心缺陷权限自主性过强文件属主可随意修改权限如chmod 777存在误操作风险。root 权限无敌root 用户UID0默认绕过所有 DAC 权限检查一旦 root 权限泄露系统完全失控。无细粒度管控无法基于 “进程用途”“文件类型” 等维度限制访问如限制某进程只能读特定日志不能写。二、SELinux MAC 原理详解SELinuxSecurity-Enhanced Linux是由 NSA 开发的MAC 实现核心是通过内核级策略强制限制主体对客体的访问弥补 DAC 的缺陷。它与 DAC 是叠加关系只有同时通过 DAC 和 SELinux 检查访问才会被允许。1. 核心设计理念SELinux 抛弃了 DAC “基于用户身份” 的管控逻辑转而采用TEType Enforcement类型强制作为核心机制同时支持 MLSMulti-Level Security多级安全用于高保密场景。日常使用中TE 是 SELinux 的核心MLS 极少涉及本文重点讲解 TE。2. SELinux 核心要素1安全上下文Security ContextSELinux 为所有主体进程和客体文件 / 设备分配一个标签称为安全上下文这是访问控制的核心依据。安全上下文的格式为user:role:type:level日常使用中level可忽略MLS 场景才会用到。字段含义作用userSELinux 用户如unconfined_u关联 Linux 用户用于权限继承roleSELinux 角色如unconfined_r限制用户可执行的进程类型type类型标签如httpd_t、httpd_sys_content_tTE 机制的核心决定访问权限进程的安全上下文称为domain域表示进程的 “身份类型”。文件的安全上下文称为type类型表示文件的 “资源类型”。2策略规则Policy RulesSELinux 策略是一组预定义的规则描述 “哪个 domain 的进程可以访问哪个 type 的文件以及允许的操作读 / 写 / 执行”。策略规则的核心格式allow domain_type file_type : class permission;domain_type进程的 SELinux 域。file_type文件的 SELinux 类型。class访问的客体类别如file、dir、tcp_socket。permission允许的操作如read、write、execute。示例允许httpd_tApache 进程域读取httpd_sys_content_t网页文件类型的文件allow httpd_t httpd_sys_content_t : file read;3运行模式SELinux 有 3 种运行模式决定策略的执行强度模式命令查看getenforce核心效果适用场景Enforcing强制模式Enforcing严格执行策略拒绝违规访问并记录日志生产环境Permissive宽容模式Permissive不拒绝违规访问但记录所有违规行为策略调试、测试环境Disabled关闭模式Disabled完全关闭 SELinux不进行任何 MAC 检查仅临时排查问题禁止长期使用4AVC 审计日志当 SELinux 拒绝访问时会通过AVCAccess Vector Cache记录详细日志默认存储在/var/log/audit/audit.log需安装auditd服务。日志包含主体的安全上下文进程 domain。客体的安全上下文文件 type。被拒绝的操作如write。客体类别如file。3. SELinux 访问判断流程当一个进程请求访问文件时内核的判断顺序是先执行 DAC 检查如果 DAC 拒绝如用户无读权限直接拒绝访问不进入 SELinux 检查。再执行 SELinux 检查提取进程的 domain 和文件的 type。查询策略规则判断是否存在允许该domain-type对应操作的规则。若存在规则允许访问若不存在强制拒绝并记录 AVC 日志。核心优势强制管控策略由管理员定义进程 / 用户无法绕过包括 root 用户。细粒度控制可基于进程类型、文件类型限制访问如限制sshd_t只能访问ssh_key_t类型的文件。最小权限原则每个进程只拥有完成任务所需的最小权限降低权限泄露风险。三、SEAndroid MAC 原理详解SEAndroid 是SELinux 在安卓系统上的移植版本由谷歌主导开发从安卓 4.3 开始成为强制启用的安全机制。其核心原理与 SELinux 一致但针对安卓的组件化架构做了定制化适配。1. SEAndroid 与 SELinux 的核心差异特性SELinuxLinuxSEAndroid安卓管控对象进程、文件、设备、端口进程、文件、安卓组件Activity/Service/ContentProvider策略架构主要基于 TE 机制1. TE 机制核心2. 安卓组件专用规则如activity类权限权限来源系统策略文件*.pp1. 系统策略sepolicy2. 应用签名权限seapp_contexts日志位置/var/log/audit/audit.loglogcatavc:关键字、dmesg管理工具semanagesetseboolchconsepolicy-injectsetenforcels -Z需 root 权限2. SEAndroid 核心适配点1安卓组件管控安卓的核心组件Activity、Service、BroadcastReceiver、ContentProvider是应用交互的关键SEAndroid 扩展了 SELinux 的客体类别新增了activity、service、content_provider等类并通过策略规则限制组件间的调用。示例允许微信的wechat_app_t域调用系统telephony_service_t类型的 Serviceallow wechat_app_t telephony_service_t : service call;2应用安全上下文分配安卓通过/seapp_contexts文件定义应用的 SELinux 上下文分配规则基于应用的签名如系统应用、第三方应用。应用的UID如app_1000表示普通应用。应用的标签如privileged表示特权应用。普通第三方应用的上下文通常为u:r:untrusted_app:s0系统应用为u:r:system_app:s0。3沙箱隔离SEAndroid 为每个应用分配独立的 domain不同应用的进程无法互相访问数据即使获取 root 权限也无法绕过 SEAndroid 策略除非修改策略。这是安卓 “应用沙箱” 的核心实现。四、DAC 与 SELinux/SEAndroid MAC 核心对比对比维度Linux DACSELinux MACSEAndroid MAC控制类型自主访问控制强制访问控制强制访问控制安卓定制核心依据用户 / 组身份 权限位安全上下文domain/type 策略规则安全上下文 安卓组件规则权限自主性属主可随意修改权限如chmod 777权限由策略强制定义用户 / 进程无法修改同 SELinux应用无法自主修改root 权限root 绕过所有权限检查root 受策略限制无法随意访问同 SELinuxroot 需策略授权细粒度粗粒度仅用户 / 组 / 其他三类细粒度基于进程 / 文件类型极细粒度支持安卓组件级管控默认状态Linux 默认启用部分系统默认关闭如 CentOS 7 需手动开启安卓 4.3 默认强制启用管理复杂度低chmodchown即可高需学习策略语法、上下文管理极高需适配安卓组件、应用签名适用场景普通桌面、非敏感服务器高安全服务器、车机、军工系统安卓设备手机、平板、车机缺陷1. root 权限无敌2. 权限易误配3. 无细粒度隔离1. 策略配置复杂2. 误配会导致系统功能异常