SELinux
SELinux 會對每個 process, 每個檔案加上 security label,然後依據 (process, syscall, object [ files, sockets etc ] ) 這個 3-tuple 寫 policy,常見問題是白名單很長。權限確實可以很細,而且可以靜態分析、證明。
它的 policy language 中有些抽象機制能將一些權限集合在一起,如『從某 tcp port 接受輸入』,但我一直覺得該 language 週邊工具不很好用(只跟 security 產品比可能還好 …)。 目前的實作,載入、改變 policy 速度頗慢。
Fedora / Red Hat 下 SELinux policy 目前還是一個 team 專門維護,而不是每個 package 維護自己的、大家都會寫。
page revision: 2, last edited: 21 Jun 2012 01:01