欢迎来到天天文库
浏览记录
ID:35746766
大小:202.49 KB
页数:20页
时间:2019-04-16
《新增资源及索引表-王辉静项目8拓展资源_SELinux安全系统基础.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、SELinux安全系统基础一、SELinux简介SELinux(SecureEnhancedLinux)安全增强的Linux是由美国国家安全局NSA针对计算机基础结构安全开发的一个全新的Linux安全策略机制。SELinux可以允许系统管理员更加灵活的来定义安全策略。SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中,因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。现在主流发现的Linux版本里面都集成了SELinux机制,CentOS/RHEL都会默认开启SELinux机制。
2、二、SELinux基本概念我们知道,操作系统的安全机制其实就是对两样东西做出限制:进程和系统资源(文件、网络套接字、系统调用等)。在之前学过的知识当中,Linux操作系统是通过用户和组的概念来对我们的系统资源进行限制,我们知道每个进程都需要一个用户才能执行。在SELinux当中针对这两样东西定义了两个基本概念:域(domin)和上下文(context)。域就是用来对进行进行限制,而上下文就是对系统资源进行限制。我们可以通过 ps-Z 这命令来查看当前进程的域的信息,也就是进程的SELinux信息:[root@xiaoluo~]#ps-ZLABELPIDTTYTIMECMDu
3、nconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c10232503pts/000:00:00suunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c10232511pts/000:00:00bashunconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c10233503pts/000:00:00ps通过 ls-Z 命令我们可以查看文件上下文信息,也就是文件的SELinux信息:[root@xiaoluo~]#ls-Z-rw-------.ro
4、otrootsystem_u:object_r:admin_home_t:s0anaconda-ks.cfgdrwxr-xr-x.rootrootunconfined_u:object_r:admin_home_t:s0Desktop-rw-r--r--+rootrootsystem_u:object_r:admin_home_t:s0install.log-rw-r--r--.rootrootsystem_u:object_r:admin_home_t:s0install.log.syslog在稍后我们来探讨一下这些字段所代表的含义。三、策略在SELinux中,我们是通过
5、定义策略来控制哪些域可以访问哪些上下文。在SELinux中,预置了多种的策略模式,我们通常都不需要自己去定义策略,除非是我们自己需要对一些服务或者程序进行保护在CentOS/RHEL中,其默认使用的是目标(target)策略,那么何为目标策略呢?目标策略定义了只有目标进程受到SELinux限制,非目标进程就不会受到SELinux限制,通常我们的网络应用程序都是目标进程,比如httpd、mysqld,dhcpd等等这些网络应用程序。我们的CentOS的SELinux配置文件是存放在 /etc/sysconfig/ 目录下的 selinux 文件,我们可以查看一下里面的内容:[
6、root@xiaoluo~]#cat/etc/sysconfig/selinux#ThisfilecontrolsthestateofSELinuxonthesystem.#SELINUX=cantakeoneofthesethreevalues:#enforcing-SELinuxsecuritypolicyisenforced.#permissive-SELinuxprintswarningsinsteadofenforcing.#disabled-NoSELinuxpolicyisloaded.SELINUX=enforcing#SELINUXTYPE=cantake
7、oneofthesetwovalues:#targeted-Targetedprocessesareprotected,#mls-MultiLevelSecurityprotection.SELINUXTYPE=targeted //我们的CentOS使用的策略就是目标策略四、SELinux模式SELinux的工作模式一共有三种enforcing、permissive和disabled ①enforcing 强制模式:只要是违反策略的行动都会被禁止,并作为内核信息记录②permissive 允许模式:违反策略
此文档下载收益归作者所有