欢迎来到天天文库
浏览记录
ID:52848733
大小:699.96 KB
页数:30页
时间:2020-03-26
《Linux系统应用与开发教程PPT例题代码实验和代码习题和代码教学课件第9章 Linux系统的安全管理.pptx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第9章Linux系统的安全管理内容Linux系统的安全设置SELinuxLinux系统的安全设置系统的安全设置账号的安全设置网络的安全设置系统的安全设置BIOS安全设置安全分区系统文件的权限限制用户资源系统及时升级账号的安全设置账号安全管理suid程序口令安全管理自动注销账号自动锁屏网络的安全设置关闭不必要的服务禁止响应ping命令屏蔽系统信息SELinux自主访问控制(DiscretionaryAccessControl--DAC)模型:对某个客体具有所有权(或控制权)的主体能够将对该客体的一种访问权或多种访问权自主地
2、授予其它主体,并可在随后的任何时刻将这些权限回收。强制访问控制模型(MandatoryAccessControlModel--MAC)模型:系统根据主体被信任的程度和客体所包含的信息的机密性或敏感程度来决定主体对客体的访问权。标准Linux系统采用DAC保护文件系统安全,而SELinux为Linux增加了一个灵活、可配置的MAC模型。SELinux的特点1)强制访问控制MAC2)类型加强TE(TypeEnforcement)——对进程只赋予最小权限3)类型的迁移——防止权限升级4)基于角色的访问控制RBAC——对用户只赋
3、予最小权限5)SELinux策略——决定保护类别和方式SELinux的基本概念用户身份(useridentity):在SELinux中,用户身份是指与一个主体或一个对象关联的用户账号,对于主体而言,用户身份是进程运行时所使用的SELinux账号。对于对象而言,用户身份给出了对象拥有者的用户账号。类型(type):类型把主体或者客体分成相关的组,以类型符号来标识,类型是基本的安全属性,SELinux根据类型做授权决策,控制进程访问并阻止越权企图。SELinux的基本概念角色(role):SELinux中每个用户被授予进入一
4、种或者多种角色,在任何时刻一个用户只能处于一种角色。每个角色与不同的域关联,角色决定了用户可以访问哪些域,即通过角色管理用户的权限。有关哪些域可以被哪些角色使用可以预先定义在策略的配置文件里。安全上下文(context):SELinux的三个安全属性:用户身份、角色、类型,结合在一起构成了安全上下文。系统中的任何主体和对象都有自己的安全上下文,SELinux根据安全上下文做安全决策。SELinux的基本概念id命令来查看当前用户的安全上下文ps–Z列出了当前运行进程的安全上下文;ls–Z列出文件对应的安全上下文策略:策略
5、是一组访问控制规则的集合。策略决定了一个角色的主体可以访问什么、哪个角色可以进入什么类型进程以及什么类型的进程可以访问哪个类型的对象等。规则:规则规定什么类型的主体可以访问什么类型的对象。allowhttpd_thttpd_sys_content_t:file{ioctlreadgetattrlock};allowhttpd_thttpd_sys_content_t:dir{ioctlreadgetattrlocksearch};allowhttpd_thttpd_sys_content_t:lnk_file{ioctl
6、readgetattrlock};布尔值(bool):SELinux的安全策略中有些规则是条件性规则,它根据一些布尔变量的当前值启用或禁用规则。多层安全(MLS):MLS是一种强制访问控制机制,在MLS模型中,所有主体和客体都标记有安全级别,可以根据不同的安全属性确定安全级别。SELinux的安全控制原理SELinux的基本操作SELinux的模式enforcing:强制模式,启用并强制执行系统上的SELinux安全机制,记录它拒绝的任何动作。permissive:宽容模式,启用SELinux,但是不强制执行安全策略。在
7、该模式下,SELinux不阻止任何操作,即使该操作违反了安全策略,但它会把违反的操作记录下来。disabled:关闭SELinux。模式操作:sestatus命令来查看当前的SELinux模式及运行情况;setenforce命令来修改当前运行的SELinux模式;getenforce命令来显示当前的SELinux模式安全上下文操作1)显示文件上下文2)显示进程上下文3)改变安全上下文4)初始化上下文5)恢复上下文6)标记文件系统3.SELinux策略的操作1)显示策略信息seinfo[-Atrub]2)规则查询sesea
8、rch[选项][规则类型][表达式][策略]3)策略导入load_policy4)布尔值查询getsebool[-a][布尔值]5)布尔值设置setsebool[-P]<布尔值>=[0
9、1]SELinux的策略管理布尔值设置文件标签用户映射SELinux用户管理网络端口SELinux管理的进程策略模块管理SELinu
此文档下载收益归作者所有