SELinux有哪些策略类型

SELinux策略类型：

SELinux策略类型是指在SELinux系统中，对进程和文件进行安全访问控制的四种方式。包括：

MCS策略

MCS策略（Multi-Category Security）是一种基于标签的策略。在MCS中，对于每个对象，包括进程和文件等，都有一个唯一的安全标记。安全标记指定了对象所属的安全类别。类别可以根据用户自定义的规则进行分组和管理。这种策略可以提供更复杂的安全控制，但相应的配置和管理也更加困难。

$ ls -Z file1
user_u:object_r:user_home_t:s0 file1

MLS策略

MLS策略（Multi-Level Security）是一种基于标记和级别的策略。在MLS中，对于每个对象，都有一个安全标记和一个安全级别。每个用户也被分配了一个安全级别。只有用户级别大于等于对象级别时，才能访问该对象。这种策略适用于需要保护多个层次的机密信息的场景，如政府和军事领域。

$ ls -Z file2
system_u:object_r:unconfined_t:s0:c0,c1 file2

RBAC策略

RBAC策略（Role-Based Access Control）是一种基于角色的策略。在RBAC中，用户被分配到一个或多个角色中，每个角色有一组权限。用户的权限是通过角色进行继承和授权的。这种策略可以方便地管理权限和角色，但不能提供精细的访问控制。

# 查询当前用户的角色
$ id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

TE策略

TE策略（Type Enforcement）是一种基于类型的策略。在TE中，每个对象都有一个类型和一个安全上下文。相关的安全策略会根据类型和上下文来控制访问。这种策略可以提供最细粒度的访问控制和最高级别的安全性，但配置和维护都非常困难。

$ ls -Z file3
unconfined_u:object_r:httpd_sys_content_t:s0 file3

总结

四种SELinux策略类型各有其特点和适用场景。基于标签和级别的MLS和MCS适用于需要保护机密信息和分组管理的场景，而基于角色的RBAC适用于权限管理比较简单的场景。而基于类型的TE则适用于需要最严格的访问控制和最高级别的安全性的场景。