SELinux技術簡介

2021-04-02 02:20:53 字數 1853 閱讀 2007

selinux introduce - selinux技術簡介

july 20, 2005

selinux introduce - selinux技術簡介

在redhat enterprise linux 4.0或fedora core 2 linux以上版本的linux中,有不少使用者經常會遇到諸如apache的permission denied,x windows打不開等等問題,拋開一些常規配置錯誤外,很大一部分原因是因為啟用了selinux的緣故。

什麼是selinux?selinux全稱是security enhanced linux,由美國****部(national security agency)領導開發的gpl專案,它擁有乙個靈活而強制性的訪問控制結構,旨在提高linux系統的安全性,提供強健的安全保證,可防禦未知攻擊,據稱相當於b1級的軍事安全效能。比ms nt所謂的c2等高得多。

應用selinux後,可以減輕惡意攻擊或惡意軟體帶來的災難,並提供對機密性和完整性有很高要求的資訊很高的安全保障。

selinux vs linux

普通linux安全和傳統unix系統一樣,基於自主訪問控制方法,即dac,只要符合規定的許可權,如規定的所有者和檔案屬性等,就可訪問資源。在傳統的安全機制下,一些通過setuid/setgid的程式就產生了嚴重安全隱患,甚至一些錯誤的配置就可引發巨大的漏洞,被輕易攻擊。

而selinux則基於強制訪問控制方法,即mac,透過強制性的安全策略,應用程式或使用者必須同時符合dac及對應selinux的mac才能進行正常操作,否則都將遭到拒絕或失敗,而這些問題將不會影響其他正常運作的程式和應用,並保持它們的安全系統結構。

selinux on redhat linux

在rhel4.0或fc3以上的版本中,可以在安裝時就選擇是否啟用selinux,系統自動會安裝相應的核心、工具、程式等。由於selinux的mac機制將極大的影響了現有引用,因此rhel4/fc3中已預配置了大量相容現有應用的安全策略。

/etc/selinux/targeted/contexts/*_context 預設的context設定

/etc/selinux/targeted/contexts/files/* 精確的context型別劃分

/etc/selinux/targeted/policy/* 策略檔案

使用redhat 預設的策略對正常應用帶來的影響比較小,相容性相對比較好。對於需要提供虛擬主機或大量應用的使用者而言,則會帶來不小的麻煩,需要仔細閱讀selinux的手冊進行調整。

啟用selinux的作業系統,需要對策略和模式進行變更時,一般不需要重啟動即可獲得變化,主要就是透過libselinux軟體包實現。 libselinux包含了對策略的控制/管理工具,其中getsebool/setsebool是讀取/設定selinux 布林值的工具,getenforce/setenforce則是設定強制性的工具。

why selinux?

毫無疑問:安全!如今internet上病毒、攻擊層出不窮,資訊保安受到了嚴重威脅,而普通linux的安全性要做得很好並不容易,且沒有乙個**化的安全體系結構,因此使用selinux可以使用強制的訪問控制來進行小顆粒度的許可權控制,並提高系統的穩定性,簡化了防系統崩潰的調整工作,達到資訊保密和完整性的要求。

selinux主要的改進在於:

# 對核心物件和服務的訪問控制

# 對程序初始化、繼承和程式執行的訪問控制

# 對檔案系統、目錄、檔案和開啟檔案描述的訪問控制

# 對埠、資訊和網路介面的訪問控制。

selinux still difficult

控制的東西越多使用起來就越容易複雜,selinux也不例外,目前selinux還在不斷完善中,管理和控制策略並不是一件輕鬆的事,需要豐富的系統知識和經驗,並且必須仔細閱讀selinux相關的文件,做大量的嘗試

python技術簡介 Python簡介

python 簡介 python是乙個高層次的 結合了解釋性 編譯性 互動性和物件導向的指令碼語言。python的設計具有很強的可讀性,相比其他語言經用使用英文關鍵字,其他語言的一些標點符號,它具有比其他語言更有特色語法結構。python 是一種解釋型語言 這意味著開發過程中沒有了編譯這個環節,類似...

檢視SELinux狀態 關閉SELinux

1.1 getenforce 1.2 usr sbin sestatus current mode表示當前selinux防火牆的安全策略 root localhost usr sbin sestatus selinux status enabled selinuxfs mount sys fs se...

檢視Selinux和關閉Selinux

selinux的檢視和設定 1.1 getenforce 1.2 usr sbin sestatus current mode表示當前selinux防火牆的安全策略 root localhost usr sbin sestatus selinux status enabled selinuxfs m...