selinux笔记

为了支持MLS：

有四个控制操作符可以将两个MLS安全级别关联起来，如：

dom：如果SL1的敏感度大于或等于SL2的敏感度，则SL1 dom（优于） SL2，SL1的范畴就是SL2范畴的一个超集。

domby：如果SL1的敏感度小于或等于SL2的敏感度，则SL1 domby SL2，SL1的范畴是SL2的子集。

eq：如果SL1的敏感度等于SL2的敏感度，则SL1 eq SL2，SL1和SL2的范畴也是相同的。

incomp：如果SL1的范畴和SL2的范畴不能进行对比（即既不是子集也不是超集或其他），那么SL1 incomp（不可对比）SL2。

在SELinux中实现了多种Bell-La Padula模型，如果进程当前的安全级别优于客体的安全级别，进程则可以"读取"客体。如果低于客体的安全级别，则可以"写入"客体，因此，同时读写客体只要这两个安全级别相等就可以了。SELinux中MLS的约束是附加在TE规则中的，如果启用了MLS，要授予访问权两个检查都必须通过

SELinux可以运行在Permissive 模式，这个模式只存在访问检查，但不会拒绝不允许的访问，它只是简单地进行一个审核操作，要将系统设置为Permissive 模式，运行setenforce 0

策略分析工具apol，它随SELinux工具包一起发布，叫做SeTools（参考附录D"SELinux命令和实用程序"）。SeTools软件包包括在大多数SELinux发行包中，运行apol命令确定这个工具是否已经安装到系统中，如果没有安装，附录D提供有关如何获得SeTools软件包的信息。apol（即analyze policy【分析策略】）工具是一个成熟的SELinux策略分析工具

3 LSM

SELinux是通过LSM框架合并到内核中的。

4

客体类别指的是资源（文件）的所有范畴，客体指的是客体类别的某个特定实例（/etc/passwd）