什么是EXT4安全标签？

Question

在Gnome的Gentoo安装过程中，有人告诉我打开EXT4安全标签，在内核文档中有如下描述：

安全标签支持由安全模块(如SELinux )实现的替代访问控制模型。此选项为ext4文件系统中的文件安全标签启用了扩展属性处理程序。

这些文档没有多大帮助，因为我现在了解到它启用了属性处理程序，而属性处理程序又将为ext4文件系统启用安全标签。我可以从特征的名字推断出这一点。这些标签是什么?如何提高安全性？

Answer 1

安全标签表明SELinux需要完成它的工作。把它们看作是对文件权限和所有权的非常非常广泛的概括。改进安全性的是SELinux，而不是安全标签本身。

安全标签是与文件关联的元数据。他们有表格user:role:type[:level[:category]]。作为比较，传统的Unix权限具有表单user:group rwxrwxrwx。文件上的安全标签指定其SELinux上下文。

• SELinux用户对应于可能具有不同权限的不同系统组件。它们可以对应于Linux系统的用户，但对于系统用户来说则是如此:所有真正的用户通常都集中在一个SELinux用户下面。
• 角色对应于一类用户可能执行的一组操作。它们用于实现基于角色的访问控制。
• 类型对应于访问受限的特定操作或资源(或其集合)。
• 级别实现多级安全。
• 类别实现多类别安全。

正在运行的进程具有一个安全上下文，该上下文是根据可执行文件上的安全标签和调用方的上下文计算的。文件还具有一个安全上下文，该上下文是根据其安全标签计算的。当主题(进程)试图访问对象(文件)时，内核检查SELinux策略是否允许主题的上下文访问对象。

编写SELinux策略非常复杂，如果您希望它让您实际运行系统，更不用说提供额外的安全性了。这就是为什么没有多少Linux系统在执行模式中采用SELinux。

有关更多信息，请参见：

• SELinux项目页面，特别是安全上下文页面
• Gentoo SELinux手册，特别是SELinux概念
• Fedora中的安全上下文
• 文件系统安全上下文在RHEL SELinux指南中