银河麒麟系统安全机制 保险 三权分立
以下内容为转载,感谢博主提供的讲解,写的非常好,附原文。
麒麟系统为什么称为国内最安全的Linux系统?秘密就在于KYSEC,麒麟系统安全机制。一般情况下Linux下默认的接入控制是DAC,其特点是资源的拥有者可以对他进行任何操作(读、写、执行)。当一个进程准备操作资源时,Linux内核会比较进程和资源的UID和GID,如果权限允许,就可以进行相应的操作。这种方式在实际使用中往往会带来一些问题,如果一个进程是以root的身份运行的,也就是他能对系统的任何资源进行操作,而且不被限制。假如我们的软件存在漏洞呢?这往往是一个灾难性的问题。因此,就引出了另外一种安全接入控制机制MAC。默认情况下,MAC不允许任何访问,组织可以开发任意数量的策略规则指定允许什么,从而避免很多攻击。MAC强制访问控制有三种实现方式:Apparmor、SELinux、kysec。
一、ApparmorApparmor是内核模块的一个安全框架,使用文件名作为安全标签。系统管理员通过将每个程序与一个安全配置文件关联,从而限制程序的功能。通过配置文件,你可以指定程序可以读、写或者运行哪些文件,是否可以打开网络端口等。
Apparmor是Ubuntu的默认选择。
二、SELinuxSELinux是美国国家安全局(NSA)对于强制访问控制的实现,是Linux历史上最杰出的系统安全子系统。通过给系统所有用户、进程、文件分别赋予一个安全标记,通过安全策略规则来实施安全控制;只有安全策略允许的操作才能执行成功,安全策略禁止或者没有定制安全策略的操作则执行失败。
三、KYSECKYSEC是基于kysec安全标记对执行程序、脚
版权声明: 本站仅提供信息存储空间服务,旨在传递更多信息,不拥有所有权,不承担相关法律责任,不代表本网赞同其观点和对其真实性负责。如因作品内容、版权和其它问题需要同本网联系的,请发送邮件至 举报,一经查实,本站将立刻删除。