SELinux有哪3种策略类型

SELinux（Security-Enhanced Linux）的三种主要策略类型如下：

1. Targeted（目标策略）

• 特点：

  • 默认策略类型（如RHEL/CentOS/Fedora等主流发行版默认启用）。
  • 仅对预定义的特定进程（如网络服务：Apache、Nginx、SSHD等）启用强制访问控制（MAC），其余进程运行在宽松的unconfined_t域中。
  • 平衡安全性与易用性，适合大多数生产环境。

• 适用场景：
  通用服务器环境，需保护关键服务同时减少对普通用户操作的干扰。

2. Strict（严格策略）

• 特点：

  • 对所有进程和用户强制执行SELinux的MAC规则（无unconfined_t例外）。
  • 提供最高级别的安全控制，但配置复杂，可能影响正常操作。
  • 需要管理员显式定义所有策略规则。

• 适用场景：
  高安全需求环境（如军事、金融系统），需全面控制所有进程的权限。

3. MLS（Multi-Level Security，多级安全策略）

• 特点：

  • 基于Bell-LaPadula模型，实现数据分级（如绝密/机密/普通）。
  • 严格的信息流控制：禁止低级别进程读取高级别数据（no read-up），禁止高级别进程写入低级别数据（no write-down）。
  • 需配合自定义策略和文件标签使用，配置复杂度最高。

• 适用场景：
  多安全层级环境（如政府、情报机构），需强制隔离不同密级的数据。

补充说明：

• 策略文件位置：通常位于/etc/selinux/<策略类型>/policy/（如/etc/selinux/targeted/policy/）。
• 查看当前策略：
  bash sestatus | grep "Loaded policy" # 或 getenforce # 查看当前模式（Enforcing/Permissive/Disabled）
• 切换策略：需在/etc/selinux/config中修改SELINUXTYPE后重启。

通过选择合适的策略类型，管理员可以灵活平衡系统安全性与管理复杂度。