3.4.1 安全策略的概念

3.4  参考策略

参考策略（Reference Policy）由Tresys技术公司提供，它来自NSA的样例策略，但策略模块化、结构层次分明，更符合现代软件工程特征。

参考策略提供了确保SELinux系统和应用程序安全目标的较好基础策略，参考策略源代码的分层和模块化设计使得策略的维护更容易，使得增加应用程序策略模块更简单以及构建高层次的图形策略工具更可行。

参考策略的目标有：保护系统、安全策略和每个应用程序自身；确保使用最小权限、限制错误的扩散、增加可理解性；允许新增加应用程序和服务的策略模块到策略中；分离角色，将角色进行最小权限定义、改良角色的颗粒。
参考策略的功能目标有：通过策略模块的模板化降低策略管理的复杂性；支持可装载的模块，使得可从同一策略源代码产生不同的、与需求相适应策略；支持第三方的策略模块；改进策略的可理解性；策略可配置，支持strict、targeted策略和MLS（Multi-Level Security）、MCS（Muilti-Category Security）。

3.4.1  安全策略的概念

1．策略分层

参考策略将策略模块按系统的功能进行分组，参考策略从低层向高层可分为kernel、system、administration、services和application层，在参考策略源代码中，分别对应不同的策略模块目录。kelnel层包括内核资源，system包括系统启动和关闭。services层包括面向网络的服务，application包括用户应用程序的策略。

2．策略模块

模块是参考策略的最小构件，它将一个特定的域和域的资源的策略组合在一起。这个组合主要基于功能。每个模块包括策略资源（如：类型、属性等）定义、相关的策略规则和客体标识要求。模块组成了策略描述抽象和封装的基础。模块通常按照RPM包进行划分，这样容易进行策略的系统配置。

每个模块由私有模块策略（.te）、外部接口（.if）和文件标识策略（.fc）3个源文件组成，私有策略文件含有模块本地的规则和定义，外部接口文件被其他模块使用，它提供了对模块私有类型和属性的抽象访问。这些接口设计成直观地反映模块的系统能力，开发者能使用接口、理解接口的目的，而不必关心模块的内部实现。文件标识策略由文件上下文描述组成，与这个模块相关。

3．模块的封装与抽象

将规则封装到一个模块确保了模块的实现细节是模块私有的，这样，可以允许改变模块的实现而不影响其他的策略模块，降低了策略模块的耦合性。

模块的书写规则是：类型和属性身份是模块私有的，不能在模块外部被直接引用，这也意味着没有全局的类型或属性。

为了让策略书写者关注于安全相关决策而不受对策略实现细节的不理解所阻碍，模块使用m4宏抽象策略规则，实现了3类宏抽象：接口（interface）、模板（template）和支持（support）。接口提供了外部模块对本模块内部的类型的访问或转移类型等，模板是接口的特殊形式，它从调用者的角度创建或处理派生类型。派生类型是调用者私有的，它们的实现细节封装在创建模板的模块中。support提供了许多通用策略模型的宏定义，是基本的“辅助函数”，仅被用来简化模块的内部实现，它们不应该作为接口使用。

4．模块接口

接口提供了对模块的策略资源的访问。所有需要同一模块访问的域使用同一接口。每个接口含有依赖性和访问两个部分，依赖性包含在gen_require()宏中，这个宏含有放置在可装载模块中的需要规则块的描述，它列出了接口使用的所有类型和属性，如果使用了用户空间客体管理器的客体类别，如：DBUS或NSCD，也列出它们所需要的操作许可。

5．模板宏

模板宏仅用来定义作为接口部分的类型和属性等，它们也称为派生类型。模块仅在明确访问派生类型的地方定义模板宏。接口与模板宏之间的区别是模板宏在调用者的角度使用或创建派生类型。两个宏都是模块的接口并能访问模块的私有类型。