一、SELinux简介 RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。 SELinux的全称是Security-Enhanced Linux,是由美国国家安全局NSA开发的访问控制体制。 SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大,举一个简单的例子可以证明: 没有SELinux保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别 则可以达到B1级。如:我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情 况下,任何人都可以访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容, 但SELinux的安全策略会继续检查你是否可以访问。 NSA推出的SELinux安全体系结构称为 Flask,在这一结构中,安全性策略的逻辑和通用接口一起封装在与 操作系统独立的组件中,这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性 策略,由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器,可 以支持不同的安全策略。SELinux使用策略配置语言定义安全策略,然后通过checkpolicy 编译成二进制形 式,存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中,在内核引导时读到内核空间 。这意味着安全性策略在每次系统引导时都会有所不同。 SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。有限策略仅针对部分 系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。有限策略模式下,9个(可 能更多)系统服务受SELinux监控,几乎所有的网络服务都受控。 配置文件是/etc/selinux/config,一般测试过程中使用“permissive”模式,这样仅会在违反SELinux规 则时发出警告,然后修改规则,最后由用户觉得是否执行严格“enforcing”的策略,禁止违反规则策略的 行为。 规则决定SELinux的工作行为和方式,策略决定具体的安全细节如文件系统,文件一致性。 在安装过程中,可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。 安装之后,可以在“应用程序”-->“系统设置”-->“安全级别”,或者直接在控制台窗口输入“system -config- securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中,我们不但可以设置“ 启用”或者“禁用”SELinux,而且还可以对已经内置的SELinux策略进行修改。 SELinux相关命令: ls -Z ps -Z id -Z 分别可以看到文件,进程和用户的SELinux属性。 chcon 改变文件的SELinux属性。 getenforce/setenforce查看和设置SELinux的当前工作模式。 修改配置文件/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。
| 【内容导航】 |
| 第1页:SELinux简介 | 第2页:案例分析 |
集成Nforce网卡 解决FC5不能上网问题linux平台支持ntfs文件系统的实现相关资讯 Linux RedHat SELinux
- Linux 即将 25 岁:足够伟大 却不 (01月01日)
- Linux 这么棒是因为开源? (08/28/2015 09:21:02)
- FreeBSD 和 Linux 有什么不同? (07/31/2015 09:15:06)
| - 盘点全球“国家级” Linux 项目 (09/25/2015 06:11:28)
- 庆祝 Linux 24 岁生日! (08/26/2015 06:13:36)
- 【观点】离了Linux,我就活不了! (10/31/2013 19:39:56)
|
本文评论 查看全部评论 (0)
易网时代-编程资源站