在CentOS中,**context(上下文)**是SELinux(安全增强Linux)的核心机制,通过定义进程和系统资源的安全属性,实现细粒度的访问控制,显著提升系统安全性。具体关联如下:
- 访问控制:每个进程和文件都有上下文(含用户、角色、类型等标签),SELinux依据上下文和策略规则(如“httpd_t进程可读httpd_sys_content_t文件”),严格限制资源访问,即使文件权限允许,不符合上下文规则的操作也会被阻止。
- 防止恶意行为:通过限制进程的“域”和文件的“类型”,可防止恶意代码越权访问敏感资源。例如,即使攻击者入侵Web服务进程(httpd_t),也无法访问非Web目录的文件(如/etc/shadow),因为其上下文不匹配。
- 安全策略实施:上下文是策略规则的基础,系统通过匹配主体(进程)和客体(资源)的上下文来决定是否允许操作,并记录审计日志,便于追踪安全事件。
- 合规与隔离:满足GDPR等安全标准,支持多级安全(MLS)模式,可隔离不同安全级别的资源,如将数据库文件标记为高敏感类型,限制仅特定进程访问。
关键命令:
ls -Z:查看文件/目录上下文。ps -Z:查看进程上下文。chcon:临时修改上下文。semanage fcontext:永久设置上下文规则。
总结:上下文通过标签化资源、定义访问规则,使SELinux能够超越传统权限管理,提供强制访问控制,有效防御未授权访问、提权攻击等安全威胁。