SELinux 和受信任的作業系統 - SELinux 是否可以僅限於硬體級別的根？

我正在探索 SE Linux，同時我發現它是可信作業系統的一個例子。它真的是像TrouSerS這樣的可信作業系統堆棧的一個例子嗎？根據我的理解，SELinux 通過使用 LSM 修改了 Linux 核心。真的可以用來辨識硬體級別的資訊和標籤，方便可信作業系統上線嗎？

“可信作業系統”是一個模糊的概念。這意味著您相信沒有惡意軟體的作業系統。TPM 人喜歡用“trusted”來表示“使用TPM ”，但他們並不壟斷這個詞。

TrouSerS 允許作業系統使用儲存在 TPM 中的密鑰。TPM 的重點是儲存和使用無法在 TPM 之外複製的密鑰；這可用於諸如安全啟動（確保硬體啟動您期望的作業系統）和設備綁定（確保在特定電腦上執行加密操作）之類的事情。這些都不是“受信任的作業系統”的內在功能，儘管如果您要信任作業系統，您確實需要有一些理由來信任您的引導鏈。

SELinux 修改 Linux 以增強程序之間的隔離。在信任方面，它在一定程度上減少了你必須信任的軟體數量，儘管好處主要限於伺服器——對於典型的桌面系統，你必須信任你正在使用的所有應用程序（例如你的網路瀏覽器它的所有外掛），這就是困難所在。SELinux 是關於邏輯程序隔離的，並且不依賴於密碼學，因此它對 TPM 沒有用處。

通過在使用 TPM 的應用程序上設置適當的上下文，SELinux 可用於限制對某些應用程序的 TPM 訪問/dev/tpm。TrouSerSREADME.selinux可能會有所幫助。

引用自：https://unix.stackexchange.com/questions/107395