通过对 SELinux 的介绍,初学者可以这样认为,在传统 Linux 系统使用访问控制方式的基础上,附加使用 SELinux 可增强系统安全。那么,SELinux 是如何运行的呢?
在解释 SELinux 的工作模式之前,先解释几个概念。
我们画一张示意图,来表示一下这几个概念之间的关系,如图 1 所示。
图 1 SELinux 运行模式的相关概念
解释一下这张示意图:当主体想要访问目标时,如果系统中启动了 SELinux,则主体的访问请求首先需要和 SELinux 中定义好的策略进行匹配。如果进程符合策略中定义好的规则,则允许访问,这时进程的安全上下文就可以和目标的安全上下文进行匹配;如果比较失败,则拒绝访问,并通过 AVC(Access Vector Cache,访问向量缓存,主要用于记录所有和 SELinux 相关的访问统计信息)生成拒绝访问信息。如果安全上下文匹配,则可以正常访问目标文件。当然,最终是否可以真正地访问到目标文件,还要匹配产生进程(主体)的用户是否对目标文件拥有合理的读、写、执行权限。
我们在进行 SELinux 管理的时候,一般只会修改文件或目录的安全上下文,使其和访问进程的安全上下文匹配或不匹配,用来控制进程是否可以访问文件或目录资源;而很少会去修改策略中的具体规则,因为规则实在太多了,修改起来过于复杂。不过,我们是可以人为定义规则是否生效,用以控制规则的启用与关闭的。
SELinux 的工作模式
SELinux 提供了 3 种工作模式:Disabled、Permissive 和 Enforcing,而每种模式都为 Linux 系统安全提供了不同的好处。
Disable工作模式(关闭模式)
在 Disable 模式中,SELinux 被关闭,默认的 DAC 访问控制方式被使用。对于那些不需要增强安全性的环境来说,该模式是非常有用的。
例如,若从你的角度看正在运行的应用程序工作正常,但是却产生了大量的 SELinux AVC 拒绝消息,最终可能会填满日志文件,从而导致系统无法使用。在这种情况下,最直接的解决方法就是禁用 SELinux,当然,你也可以在应用程序所访问的文件上设置正确的安全上下文。
需要注意的是,在禁用 SELinux 之前,需要考虑一下是否可能会在系统上再次使用 SELinux,如果决定以后将其设置为 Enforcing 或 Permissive,那么当下次重启系统时,系统将会通过一个自动 SELinux 文件重新进程标记。
关闭 SELinux 的方式也很简单,只需编辑配置文件 /etc/selinux/config,并将文本中 SELINUX= 更改为 SELINUX=disabled 即可,重启系统后,SELinux 就被禁用了。
Permissive工作模式(宽容模式)
在 Permissive 模式中,SELinux 被启用,但安全策略规则并没有被强制执行。当安全策略规则应该拒绝访问时,访问仍然被允许。然而,此时会向日志文件发送一条消息,表示该访问应该被拒绝。
SELinux Permissive 模式主要用于以下几种情况:审核当前的 SELinux 策略规则;测试新应用程序,看看将 SELinux 策略规则应用到这些程序时会有什么效果;解决某一特定服务或应用程序在 SELinux 下不再正常工作的故障。
某些情况下,可使用 audit2allow 命令来读取 SELinux 审核日志并生成新的 SELinux 规则,从而有选择性地允许被拒绝的行为,而这也是一种在不禁用 SELinux 的情况下,让应用程序在 Linux 系统上工作的快速方法。
Enforcing工作模式(强制模式)
从此模式的名称就可以看出,在 Enforcing 模式中, SELinux 被启动,并强制执行所有的安全策略规则。
生成树协议有哪几种工作状态
一共五种:关闭:Disabled 阻塞:Blocking 侦听:listening 学习:learning 转发:Forwarding
怎么样设置CMOS参数?
想让你的电脑能高速运行, 除了合理的安装硬件和软件外,另外就是要在CMOS里正确的设置各项参数了。 下面介绍的是最常见的CMOS参数的含义及调整方法法如下: 1.病毒报警开关 Virus Warning预设置 Disabled 关闭建议值 Enabled 打开当试图改变系统时报警 该开关将占用 1KB 的基本内存 打开该开关后 系统的基本内存将减少 1KB 2.设定是否使用 CPU 内部的 Cache RAM(CPU Internal Cache)预设置 Enabled建议值 Enabled现在 CPU 均有快速内存 充分利用它以加快程序存取的速度 3.设定是否使用外部 Cache (SRAM)(External Cache)预设置 Enabled建议值 Enabled使主板上的 Cache 充分发挥作用可提高运行速度 4.设定是否进行快速自检 Quick Power On Self Test预设置 Enabled建议值 Enabled 5.设定开机优先顺序 Boot Sequence预设置 A C CDROM建议值 C A CDROM有硬盘 最好设定为 C A CDROM 先由硬盘引导开机较快 要是由硬盘开机失败再改为 A C CDROM 先由软盘引导字串4 6.设定是否交换软驱 Swap Floppy Drive预设置 Disabled建议值 Disabled对于有两个软驱的用户 可通过改变该开关的值快速改变 A B 盘标志 7.设定开机时是否检测软驱 Boot Up Floppy Seek预设置 Enabled建议值 Disabled开机时点亮 A B 软驱的灯和转动软驱马达 但什么事情都不做 只会白白浪费开机时间并且它对是否可用软盘引导安全无关 8.设定开机时右边小键盘状态 Boot Up Numlock Status预设置 On建议置 On一般来说 PC 启动后其 Numlock 皆自动设为开启 灯是亮的 状态 若希望启动后设成关闭 可将其调成 Off 9.设定开机时系统速度 Boot Up System Speed预设置 Normal建议值 High该选项取代原来的 跳过 IMB 以上的存储测试 Above 1MB Memory Test 忽略 1MB以上地址的存储器测试 以节省时间 否则 所有的 DRAM 皆一一测试 10.设定硬盘类型为 47 时 开机时参数存放的位置 hard Disk Type 47 RAM Area预设置 0 300建议值 0 300BIOS将硬盘 Type47 设计成 使用者自行输入规格 而输入的参数通常是放在 0 300 地址处 在安装 Nove11 Netware 软件时 则必须设置为 DOS1KB 选用此选项 系统的基本内存将减少 1KB 字串8 11.设定硬盘接口类型 IDE HDD Block Mode预设置 Enabled建议值 Enabled设置硬盘接口类型为 IDE 型接口 12.设定存储器奇偶校验 Memory Parity Error Check预设置 Enabled建议置 Disabled检查有无 奇偶校验 错误发生 13.设定键盘的反应及重复率 Typematic Rate预设置 Fast建议值 Fast 14.设定什么情况下输入密码 Security Option预设置 Disabled建议值 DisabledAlways 每次开机均必须输入密码 否则无法开机Setup 如果要进入BIOS 才需输入密码 可避免微机的设置被人乱改Disabled 不设置密码 输入密码时严格区分大小写字母 如果不慎遗忘密码 可使用万能密钥 AMI 芯片组使用 AMI 旧 Award 芯片组使用 Award 新 Award 芯片组使用 Syxz 15.设定主板 BIOS 影射 System Bios Shadow预设置 Enabled建议值 Enabled充分利用主板上的 BIOS ROM 打开此开关可大大提高 I/0 速度 16.设定显示卡 BIOS 影射 Video Bios Shadow字串9 预设置 Enabled建议值 Enabled充分利用显示卡上的 BIOS ROM 打开此开关 可大大提高显示速度
利用结构化方法进行信息系统开发的过程中,数据字典应在哪一阶段建立
结构化数据(即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据)非结构化数据,包括所有格式的办公文档、文本、图片、xml、html、各类报表、图像和音频/视频信息等等。 对于结构化数据(即行数据,存储在数据库里,可以用二维表结构来逻辑表达实现的数据)而言,不方便用数据库二维逻辑表来表现的数据即称为非结构化数据,包括所有格式的办公文档、文本、图片、xml、html、各类报表、图像和音频/视频信息等等。 非结构化数据库是指其字段长度可变,并且每个字段的记录又可以由可重复或不可重复的子字段构成的数据库,用它不仅可以处理结构化数据(如数字、符号等信息)而且更适合处理非结构化数据(全文文本、图象、声音、影视、超媒体等信息)。 非结构化web数据库主要是针对非结构化数据而产生的,与以往流行的关系数据库相比,其最大区别在于它突破了关系数据库结构定义不易改变和数据定长的限制,支持重复字段、子字段以及变长字段并实现了对变长数据和重复字段进行处理和数据项的变长存储管理,在处理连续信息(包括全文信息)和非结构化信息(包括各种多媒体信息)中有着传统关系型数据库所无法比拟的优势。
发表评论