现状态信息共享
总结一下就是MLS限制了高级别进程对低级别进程写的操作,即不能下写。
MLS对socket的约束
进程对local socket的访问限制
只有当主体进程的domain的高级别security level和低级别security level分别与客体local socket的type的security level相同时即满足eq关系时,或者主体客体任何一个具有对mls无限权限的type时,主体进程才对local socket拥有了某些访问权限。 这些访问权限是指: 读操作 写操作 新建操作 能获取对象属性信息 能设置对象的属性信息 能对对象重新标记安全上下文 能进行bind操作 能发起一个连接请求 能监听连接事件 能接受一个连接请求 能获取到socket options 能关闭socket连接 对socket的datagram发送的限制
只有当发送方的低级别security level与接受方的低级别security level满足domby关系时,或者主体客体任何一个具有对mls无限权限的type时,发送方才对接受方拥有了发送权限。 对客户端socket和服务端socket建立连接的限制
只有当客户端的低级别security level与服务端的低级别security level满足eq关系时,或者主体客体任何一个具有对mls无限权限的type时,客户端就能获得连接服务端的权限。
MLS对文件和目录的约束
对文件的创建和重新标记的限制
对文件操作时,要求客体的文件安全上下文只有一个security level即没有低级别和高级别security level或者说是这两个级别相同。 当主体domain的低级别security level对客体文件的低级别security level相同时,或者主体具有对mls有无限权限的type时,主体对客体文件拥有创建、和重新标记安全上下文的权限。 对目录的读操作的限制
只有当主体的低级别security level对客体目录的低级别security level满足dom关系时,或者主体客体任何一个具有对mls无限权限的type时,主体能对目录拥有如下权限: 能读目录 能获得目录的属性信息 能获得某个正在被访问文件的所有上层目录访问权(search权限)
总结一下就是对目录的访问不能上读。 对文件的读操作的限制
只有当主体的低级别security level对客体文件的低级别security level满足dom关系时,或者主体客体任何一个具有对mls无限权限的type时,主体能对文件拥有如下权限: 能读文件 能获得文件的属性信息 能执行该文件 总结一下就是对文件的访问不能上读。 对目录的写操作的限制
只有当主体的低级别security level对客体目录的低级别security level满足domby关系时,或者主体客体任何一个具有对mls无限权限的type时,主体能对目录拥有如下权限: 能对目录写操作 能设置属性信息 能重命名目录 能添加一个文件到目录中 能从目录中删除一个文件 能改变父目录 能删除一个空目录
总结一下就是对目录访问不能下写。 对文件的写操作的限制
只有当主体的低级别security level对客体文件的低级别security level满足domby关系时,或者主体客体任何一个具有对mls无限权限的type时,主体能对文件拥有如下权限: 能对文件进行写操作 能设置文件属性信息 能对文件内容作append操作 能对文件创建链接 能删除一个文件的链接 能对文件重命名 总结一下就是对文件访问不能下写。
MLS对IPC的约束
对IPC创建和销毁的限制
要求客体的IPC对象只有一个security level。
只有当主体的低级别security level与客体的低级别security level满足eq关系时,或者主体具有对mls无限权限的type时,主体能对客体IPC拥有创建和销毁的权限。 对IPC读操作的限制
只有当主体的低级别security level对客体IPC的低级别security level满足dom关系时,或者主体具有对mls无限权限的type时,
主体能对客体IPC拥有如下权限: 获取文件属性信息 能对IPC文件执行读操作 能关联一个key 能执行由IPC操作要求的读操作 总结一下就是对IPC访问不能上读。 对IPC写操作的限制
只有当主体的低级别security level对客体IPC的低级别security level满足domby关系时,或者主体具有对mls无限权限的type时,主体能对客体IPC拥有如下权限: 能对文件执行write和append操作 能执行由IPC操作要求的write和append操作 总
结
一
下
就
是
对
IPC
访
问
不
能
下
写
。
Retrieved
from
\http://en.wikipedia.org/w/index.php?title=User:Blueswhen&oldid=478968612 \
相关推荐:
loading