SELinux 從哪幾方面建立加強的安全訪問控制策略

SELinux從以下幾方面建立加強的安全訪問控制策略：

• 強制訪問控制MAC：強制訪問控制MAC區別于自主訪問控制DAC而存在，強制訪問控制MAC基于策略實施對所有客體的訪問，這些策略由管理員統一定制，一般用戶無更改權限。

• 類型強制TE：類型強制TE對每個進程均賦予最小的權限。類型強制TE的特點是對所有的進程都賦予一個domain的標簽，并對所有的文件都賦予一個type的文件類型標簽。Domain標簽能夠執行的操作由AV規則在策略中設定。

• domain遷移：domain遷移可防止權限升級，domain遷移的概念可用如下例子很好地說明。眾所周知，SELinux中所有的進程都在域中運行。假設進程A在Domain A內運行，進程B在Domain B內運行。若要使B程序在Domain A中執行，就需要使用domain遷移，否則運行B程序時，其默認繼承Domain B。

• 基于角色的訪問控制RBAC：基于角色的訪問控制RBAC，可使在SELinux中用戶只被賦予最小的權限。在SELinux中，用戶被劃分成一些role，策略決定哪些role可以執行哪些domain。role可以遷移，但只能按照策略的規定進行遷移。

回答所涉及的環境：聯想天逸510S、Windows 10。