访问控制实验报告

访问控制是计算机安全中的重要概念，是指系统按照一定规则限制用户对资源的访问。访问控制可分为物理访问控制和逻辑访问控制两种类型。物理访问控制主要是指通过门禁、监控等手段限制人员对机房等设施的进入，而逻辑访问控制则是指通过软件技术手段限制用户对数据、信息资源的访问。本文将结合实验结果，从多个角度分析访问控制的实现原理和实现方法。

一、实验目的

本实验旨在掌握常见的访问控制机制，并通过实验了解其具体实现方法，包括基于角色的访问控制、强制访问控制、自主访问控制、基于属性的访问控制等。

二、实验环境

本次实验基于Linux操作系统，使用了SELinux（Security-Enhanced Linux）和AppArmor两种访问控制机制，并通过实验测试了它们的具体实现和差异。

三、实验内容

1. SELinux

SELinux是Fedora、CenOS等操作系统中自带的访问控制机制。它通过在Linux内核和用户空间中增加安全服务器，对系统资源进行授权访问，可有效防范攻击和恶意操作。SELinux将权限授权定义为类型，通过安全策略定义每个类型的操作和对象的访问控制规则。

SELinux在实际应用中存在一定的不便，如应用程序无法正常运行等，这是由于SELinux默认为“禁止一切”的安全策略所致。解决该问题的方法一般是通过修改安全策略，升级SELinux版本，或者使用其他访问控制机制。

2. AppArmor

AppArmor是一种基于Mandatory Access Control（MAC）的访问控制机制，可对应用程序的操作进行授权访问控制。AppArmor通过定义有限权利和特定权限的访问控制策略，防止应用程序跨越UI线程操作或滥用系统特权。与SELinux相比，AppArmor支持更多的应用程序，既简单又易用。

四、实验结果

本次实验通过对SELinux和AppArmor进行测试，分别测试了基于角色的访问控制、强制访问控制、自主访问控制、基于属性的访问控制等四种访问控制机制。实验结果显示，SELinux和AppArmor均能很好地实现访问控制，但各自有不同的适用范围和限制条件。