日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
SELinux是什么
SElinux,
Security Enhanced Linux 的縮寫(xiě),也就是安全強(qiáng)化的 Linux,是由美國(guó)國(guó)家安全局(NSA)聯(lián)合其他安全機(jī)構(gòu)(比如 SCC 公司)共同開(kāi)發(fā)的,旨在增強(qiáng)傳統(tǒng) Linux 操作系統(tǒng)的安全性,解決傳統(tǒng) Linux 系統(tǒng)中自主訪問(wèn)控制(DAC)系統(tǒng)中的各種權(quán)限問(wèn)題(如 root 權(quán)限過(guò)高等)。

SELinux 項(xiàng)目在 2000 年以 GPL 協(xié)議的形式開(kāi)源,當(dāng) Red Hat 在其 Linux 發(fā)行版本中包括了 SELinux 之后,SELinux 才逐步變得流行起來(lái)。現(xiàn)在,SELinux 已經(jīng)被許多組織廣泛使用,幾乎所有的 Linux  內(nèi)核 2.6 以上版本,都集成了 SELinux 功能。

對(duì)于 SELinux,初學(xué)者可以這么理解,它是部署在 Linux 上用于增強(qiáng)系統(tǒng)安全的功能模塊。

我們知道,傳統(tǒng)的 Linux 系統(tǒng)中,默認(rèn)權(quán)限是對(duì)文件或目錄的所有者、所屬組和其他人的讀、寫(xiě)和執(zhí)行權(quán)限進(jìn)行控制,這種控制方式稱(chēng)為
自主訪問(wèn)控制(DAC)方式;而在 SELinux 中,采用的是
強(qiáng)制訪問(wèn)控制(MAC)系統(tǒng),也就是控制一個(gè)進(jìn)程對(duì)具體文件系統(tǒng)上面的文件或目錄是否擁有訪問(wèn)權(quán)限,而判斷進(jìn)程是否可以訪問(wèn)文件或目錄的依據(jù),取決于 SELinux 中設(shè)定的很多策略規(guī)則。

說(shuō)到這里,讀者有必要詳細(xì)地了解一下這兩個(gè)訪問(wèn)控制系統(tǒng)的特點(diǎn):

  • 自主訪問(wèn)控制系統(tǒng)(Discretionary Access Control,DAC)是 Linux 的默認(rèn)訪問(wèn)控制方式,也就是依據(jù)用戶(hù)的身份和該身份對(duì)文件及目錄的 rwx 權(quán)限來(lái)判斷是否可以訪問(wèn)。不過(guò),在 DAC 訪問(wèn)控制的實(shí)際使用中我們也發(fā)現(xiàn)了一些問(wèn)題:
    1. root 權(quán)限過(guò)高,rwx 權(quán)限對(duì) root 用戶(hù)并不生效,一旦 root 用戶(hù)被竊取或者 root 用戶(hù)本身的誤操作,都是對(duì) Linux 系統(tǒng)的致命威脅。
    2. Linux 默認(rèn)權(quán)限過(guò)于簡(jiǎn)單,只有所有者、所屬組和其他人的身份,權(quán)限也只有讀、寫(xiě)和執(zhí)行權(quán)限,并不利于權(quán)限細(xì)分與設(shè)定。
    3. 不合理權(quán)限的分配會(huì)導(dǎo)致嚴(yán)重后果,比如給系統(tǒng)敏感文件或目錄設(shè)定 777 權(quán)限,或給敏感文件設(shè)定特殊權(quán)限——SetUID 權(quán)限等。
  • 強(qiáng)制訪問(wèn)控制(Mandatory Access Control,MAC)是通過(guò) SELinux 的默認(rèn)策略規(guī)則來(lái)控制特定的進(jìn)程對(duì)系統(tǒng)的文件資源的訪問(wèn)。也就是說(shuō),即使你是 root 用戶(hù),但是當(dāng)你訪問(wèn)文件資源時(shí),如果使用了不正確的進(jìn)程,那么也是不能訪問(wèn)這個(gè)文件資源的。

這樣一來(lái),SELinux 控制的就不單單只是用戶(hù)及權(quán)限,還有進(jìn)程。每個(gè)進(jìn)程能夠訪問(wèn)哪個(gè)文件資源,以及每個(gè)文件資源可以被哪些進(jìn)程訪問(wèn),都靠 SELinux 的規(guī)則策略來(lái)確定。

注意,在 SELinux 中,Linux 的默認(rèn)權(quán)限還是有作用的,也就是說(shuō),一個(gè)用戶(hù)要能訪問(wèn)一個(gè)文件,既要求這個(gè)用戶(hù)的權(quán)限符合 rwx 權(quán)限,也要求這個(gè)用戶(hù)的進(jìn)程符合 SELinux 的規(guī)定。

不過(guò),系統(tǒng)中有這么多的進(jìn)程,也有這么多的文件,如果手工來(lái)進(jìn)行分配和指定,那么工作量過(guò)大。所以 SELinux 提供了很多的默認(rèn)策略規(guī)則,這些策略規(guī)則已經(jīng)設(shè)定得比較完善,我們稍后再來(lái)學(xué)習(xí)如何查看和管理這些策略規(guī)則。

為了使讀者清楚地了解 SELinux 所扮演的角色,這里舉一個(gè)例子,假設(shè) apache 上發(fā)現(xiàn)了一個(gè)漏洞,使得某個(gè)遠(yuǎn)程用戶(hù)可以訪問(wèn)系統(tǒng)的敏感文件(如 /etc/shadow)。如果我們的 Linux 中啟用了 SELinux,那么,因?yàn)?apache 服務(wù)的進(jìn)程并不具備訪問(wèn) /etc/shadow 的權(quán)限,所以這個(gè)遠(yuǎn)程用戶(hù)通過(guò) apache 訪問(wèn) /etc/shadow文件就會(huì)被 SELinux 所阻擋,起到保護(hù) Linux 系統(tǒng)的作用。

CentOS 6.x安裝SELinux

在 CentOS 6.x 中,SELinux 也是整合到 Linux 的內(nèi)核當(dāng)中的,并且是啟動(dòng)的,所以不需要單獨(dú)安裝。不過(guò),現(xiàn)在不再像在 CentOS 5.x 中,所有的 SELinux 工具都是已經(jīng)安裝和配置好的,在 CentOS 6.x 中,雖然 SELinux 的主程序默認(rèn)已經(jīng)安裝,但是很多的 SELinux 管理工具需要我們手工安裝。

SELinux 安裝命令如下:

[root@localhost ~]# yum -y install setroubleshoot
[root@localhost ~]# yum -y install setools-console

這兩條命令要想正確運(yùn)行,需要搭建正確的 yum 源。這兩個(gè)軟件包在安裝時(shí)會(huì)依賴(lài)安裝一系列的軟件包,這些軟件包中包含了 SELinux 的常用工具。

通過(guò)以上的介紹,讀者應(yīng)該對(duì) SELinux 有了初步的認(rèn)識(shí),下面我們?cè)偻ㄟ^(guò)了解 SELinux 的工作模式,細(xì)致了解 SELinux。


網(wǎng)站題目:SELinux是什么
當(dāng)前路徑:http://www.dlmjj.cn/article/ccsigee.html