linux的DAC和MAC

1. DAC（Discretionary Access Control，自主访问控制）

① DAC是传统的Linux的访问控制方式，DAC可以对文件、文件夹、共享资源等进行访问控制。

② 在DAC这种模型中，文件客体的所有者（或者管理员）负责管理访问控制。

③ DAC使用了ACL（Access Control List，访问控制列表）来给非管理者用户提供不同的权限，而root用户对文件系统有完全自由的控制权。

2. MAC（Mandatory Access Control，强制访问控制）

① SELinux在内核中使用MAC检查 *** 作是否允许。

② 在MAC这种模型中，系统管理员管理负责访问控制，用户不能直接改变强制访问控制属性。

③MAC可以定义所有的进程（称为主体）对系统的其他部分（文件、设备、socket、端口和其它进程等，称为客体）进行 *** 作的权限或许可。

3. DAC和MAC的其它区别

① DAC的主体是真实有效的用户和组ID，MAC的主体是安全上下文，两者的UID是各自独立的。

② DAC的访问控制模式是rwxrwxrwx，MAC的访问控制模式是user:role:type。

其实一楼已经说得比较详细了。我觉得你先弄清楚几个概念： *** 作系统用户、系统超级用户、系统普通用户、管理员角色、 *** 作员角色、普通用户角色。 1、首先前面三个是存在于unix或linux上的可用于登录的用户 2、后面三个是逻辑概念，对应到 *** 作系统上可能有多个 *** 作系统用户，比如“我”和“你”可以是管理员，可以同时拥有系统超级用户的密码，但是我们可能都不能直接用系统超级用户远程登录，需要“我”自己的系统用户远程登录后su到超级用户 3、默认系统超级用户可以对其他系统用户进行 *** 作，所以“谁”作为管理员，有两层含义：1）谁拥有超级用户密码；2）他们是否拥有各自的系统用户用于su到超级用户 4、其他非系统超级用户均不能管理其他用户，所以你所说的“ *** 作员”和“普通用户”在linux和unix上就是非系统超级用户。 5、文件的权限靠用户owner和group进行限定和控制 因此你的需求是靠用户组和文件权限来控制，举个例子： root是超级用户，组是system、dns root可以作为管理员，该用户密码可以授权给管理员角色，管理员角色可以拥有一个 *** 作系统用户，比如一个普通用户john，他的组是stuff）

所以在这台Linux服务器投入生产使用之后，就需要对其访问进行限制，否则的话有可能会对Linux服务器带来安全隐患。 一、限制控制台访问 在Linux *** 作系统中所有的命令在系统中都是以文件的形式体现出来的。如果需要限制或者禁用控制台下的访问，只需要把某些文件的连接注释掉即可。比如我们要禁止所有的控制台访问(包括程序与应用文件)，则可以把目录/etc/pam.d下面的所有文件中包含pam_console.so的行注释掉。 二、禁止使用控制台程序 为了提高Linux服务器系统的安全性，一个最简单也是被很多系统管理员所采用的方法就是禁止使用相关的控制台程序。众所周知，Linux *** 作系统是一个多用户的 *** 作系统。当其他用户正连在 *** 作系统上的时候，如果某个用户强制执行shutdown命令的话，那么无疑会让其他用户正在修改的文件发生数据丢失。为此当Linux服务器部署完毕之后，需要通过某些方式禁止用户使用控制台程序。 要实现这个目的也比较简单，如主要通过如下命令即可： rm –f /etc/security/console.apps/servicename 三、禁止使用控制台程序应用之禁用Xwindow服务 在把Linux服务器投入到生产后，最好能够把Xwindow这个服务程序删除掉。这个删除的方法也很简单，就是上面我提到过的禁止使用控制台程序的方法。其实Linux *** 作系统在启动的时候，是先进入到控制台。然后再在控制台中使用startx命令启动X Window图形化管理界面。系统管理员能够通过禁用控制台程序的方法，把这图形化管理程序禁用掉： rm –f /etc/security/console.apps/xserver 执行这个命令后，普通用户就无法登陆到图形化的管理界面了。但是在有必要的情况下，root特权用户仍然可以启动图形化管理界面。所以北街建议，如果真的要在XWindow图形化管理界面下部署应用程序的话，那么在部署完成后请系统管理员通过上面这条命令把这个XWindow应用程序禁用掉，以提高Linux服务器的安全性与性能，让其CPU与内存资源能够用在刀刃上。 Linux *** 作系统作为服务器最大的特色在于稳定的系统内核。而在图形化界面与桌面环境来说，虽然可以跟Windows *** 作系统相抗衡，但是并没有明显的优势。而且从一定程度上来说，这些功能还会影响到Linux *** 作系统本身的性能与安全。如果Linux *** 作系统是用来实现服务器 *** 作系统的，则最好在部署的时候不需要安装这两个服务。

---