搜索引擎排名网站网站营销话术

搜索引擎排名网站,网站营销话术,吉林手机版建站系统价格,国外优秀展厅设计SELinux理论基础 SELinux#xff1a;Security-Enhanced Linux#xff0c;翻译过来就是 安全增强型 Linux 在 Android 系统中#xff0c;SELinux 是安全架构的核心部分#xff1a; 每个应用和系统进程都有特定的安全上下文通过策略文件#xff08;.te 文件#xff09;定义…SELinux理论基础SELinuxSecurity-Enhanced Linux翻译过来就是 安全增强型 Linux在 Android 系统中SELinux 是安全架构的核心部分每个应用和系统进程都有特定的安全上下文通过策略文件.te 文件定义访问规则防止恶意应用或漏洞影响系统安全如果没有SElinux权限直接操作APK-JNI-底层驱动app操作设备驱点,read, write可能会遇到权限问题打开不了不能读不能写等问题, 但是在以前早期的版本可能对节点chmod ax /dev/xxx 进行权限的设置就能访问了。但是开机启动中根据rc文件提供的启动信息 会启动一些后台进程可以在进程对应的rc文件中配置让进程开机启动但是有可能跑不起来 如果没有配置selinux相关的策略的话这是因为app运行的时候检测安全环境。SELinux 背后的深层设计目标DAC自主访问控制模型这种是比较粗犷的模型称之为DAC自主访问通过chmod修改访问权限。一个进程如果是超级用户root,它可以访问系统上的所有关联root的资源。因此我们需要控制访问权限的颗粒这就可以通过MAC机制(即SEAndroid),因为SELinux 设计的核心是引入强制访问控制MAC而非依赖传统的自主访问控制DAC。这一点对于现代系统至关重要因为 DAC 的设计缺陷在于它允许具有足够权限的用户自由分配访问权这在攻击者获得管理员权限后可能会造成严重的系统危害。SELinux 则通过预定义的策略确保即使管理员也不能轻易修改核心文件或服务的访问权限。比喻传统 Linux (DAC) - 像普通的图书馆想象一个普通的学校图书馆学生 普通用户 图书管理员 root/管理员 借书证 文件权限rwx工作方式DAC学生甲有借书证有读取权限可以借书 学生乙没有借书证无权限不能借书 但是如果学生甲把自己的借书证给学生乙学生乙就能借书了 更糟糕如果有人偷了图书管理员的万能卡成为root他就能 借走任何书 修改借阅记录 甚至删除整个图书馆系统 问题 权限一旦获得可以随意传递和滥用。SELinux (MAC) - 像严格管理的军事图书馆现在想象一个军事学校的绝密资料馆每个房间都有严格规定安全上下文 绝密档案室 → 标签level_top_secret 内部资料室 → 标签level_internal 公共阅览室 → 标签level_public每个人都有明确身份进程域‍✈️ 将军 → 身份domain_general ‍ 情报官 → 身份domain_intel ‍ 普通学员 → 身份domain_student ‍ 清洁工 → 身份domain_cleaner详细的访问规则策略# SELinux 策略类似这样 allow domain_general level_top_secret:file {read write}; allow domain_intel level_internal:file {read}; allow domain_student level_public:file {read}; deny domain_cleaner level_top_secret:file *; # 禁止清洁工访问绝密文件实际场景对比场景清洁工想进绝密档案室传统图书馆DAC# 清洁工拿到馆长钥匙成为root sudo su # 现在是root了 cd /top_secret_room # 可以进去了 cat nuclear_codes.txt # 可以看核密码✅ 技术上可行 ❌ 安全灾难军事图书馆SELinux# 即使清洁工偷了馆长钥匙 sudo su # 身份变成root cd /top_secret_room # 试图进入 # SELinux 检查 # 当前身份domain_cleaner # 目标房间level_top_secret # 策略规定deny domain_cleaner level_top_secret:* ❌ 权限拒绝即使你是root也不行为什么需要这么严格想象 Android 手机 你的微信普通应用想# 读取你的通讯录 → ✅ 允许正当功能 # 读取银行app数据 → ❌ 拒绝隐私泄露 # 修改系统文件 → ❌ 拒绝系统安全 系统更新服务 想# 修改系统文件 → ✅ 允许本职工作 # 读取你的照片 → ❌ 拒绝越权没有 SELinux一个被黑的微信可能提权到root 读取所有app数据 安装后门 完全控制你的手机有 SELinux即使微信被黑它还是 wechat_domain 身份 SELinux 说wechat身份不能做这些事 攻击被限制在微信自己的沙箱里MAC访问控制框架模型这里的MAC模型是基于前面的DAC模型的同样也拥有用户类型uid和gid的概念。主体一般指的是活动的进程客体有普通文件虚拟文件属性文件服务service和appte文件一般用于描述主体对客体的一套动作行为就是一种逻辑性的行为描述。比如信息部的张经理允许对员工具有分配系统的xxx权限这类描述就是te文件中的明文规定描述了一种主体对客体访问的规章制度。