3演示验证方案及结果分析3.1 演示验证方案3.1.1 验证目标

验证SELinux中的MLS对系统的防护。

　　3.1.2 环境部署

操作系统：启用了SELinux的centos6.3

内核版本：2.6.32-279.e16.i686

策略类型：targeted

策略版本：policy.24

必要的软件包：setools、policycoreutil

　　3.1.3 技术原理

在SELinux中，默认情况下是不允许用户访问系统资源的，除非通过策略明确的授予了相应的权限[3]。SELinux使用的是一个由RBAC、IBAC、TE及可选的MLS组合而成的安全策略，由“Linux多安全策略和动态安全策略框架模块代码分析报告”一文可知所有权限的授予都是通过TE规则进行的，其他策略用于对授予的权限进行限制，如果不满足相应的约束条件，则从授予的权限中删除该约束所限制的权限，其中MLS就用于权限的限制。对于多安全策略，当主体对客体进行访问时，其会通过安全级别之间的关系来限制主体对客体的操作，如果主体的安全级别可以支配客体的安全级别，则主体可以读取客体的内容，否则主体不能读取客体的内容；如果客体的安全级别可以支配主体的安全级别，则主体可以向客体中写入相应的内容，否则主体不能对客体执行写操作。对于权限的授予、权限的约束详见“Linux多安全策略和动态安全策略框架模块代码分析报告”一文，对于安全级别之间的关系详见本文1.3.1小节。

　　3.1.4 操作步骤

由于targeted策略只对网络服务进行保护，因此该验证场景就以www服务器为例来说明SELinux对网络服务的保护过程，详细的操作步骤如下所示：

　　1. 启动www服务，并查看httpd进程的安全上下文。

　　2. 在/var/www/html目录中创建一个名为index.html的html文件。

　　3. 通过浏览器访问该文件，在地址栏中输入http://127.0.0.1，结果如图3-1所示。

图3-1 index.html的访问结果

　　3.1.5 实验代码无。3.2 演示验证结果

下面结合执行步骤对上述执行结果进行分析：

1. 当启动httpd服务之后，通过ps命令得知httpd进程的域为httpd_t，低安全级别和高安全级别的敏感属性均为s0，类别属性均为空。

2. 当通过echo命令将相应的字符串重定向到index.html文件时，如果index.html文件不存在，则创建该文件。

3. 当通过浏览器访问index.html文件时，此时会触发httpd进程来读取该文件。由上一步的结果可知，index.html文件的类型为httpd_sys_content_t，安全级别中的敏感属性为s0，类别属性为空，通过策略分析工具apol查找主体为httpd_t，客体为httpd_sys_content_t的规则，其结果如下所示：

　　由上可知，httpd_t类型的主体和httpd_sys_content_t类型的客体在策略库中只定义了11条条件规则，并且在当前状态下，使能了httpd_t类型的主体对httpd_sys_content_t类型的文件的访问规则，由该规则可知，允许httpd_t类型的主体对httpd_sys_content_t类型的文件执行读操作，并且由于主体的敏感属性等于客体的敏感属性，即主体可以支配客体，允许主体对客体执行读操作，因此当用户通过浏览器访问index.html文件会出现图3-1的结果。

　　4待解决问题

本文在全面分析SELinux中实现的多级安全策略的基础之上，虽然对MLS的功能进行了验证，但由于时间问题，还存在以下两点不足：

1. 对多级安全策略的验证是基于Linux-2.6.32版内核进行的。

2. 没有实现基于MLS的访问限制的演示。因为在SELinux中，虽然启用了MLS，但它将MLS的约束条件设为“最大”，如果要使用MLS对用户的访问进行限制就必须修改安全策略，而由于时间有限，因此未对其进行实现。