登录/注册 帐户

Linux的

什么是SELinux的?

安全增强型Linux(SELinux)的是一个安全架构Linux®系统它允许管理员对谁可以访问系统的控制。它最初是由美国国家安全局(NSA)开发的一系列补丁的Linux内核使用Linux安全模块(LSM)。

SELinux的发布到开源社区于2000年,并集成到上游Linux内核在2003年。


如何SELinux的工作?

SELinux的定义了应用程序,流程和系统上的文件访问控制。它采用的安全策略,这是一组告诉SELinux的东西可以或不可以访问,以执行政策允许的访问规则。

当应用程序或过程,被称为个体,使得与接入向量缓存(AVC),其中权限缓存主体和对象访问一个对象,如文件,SELinux的支票的请求。

如果SELinux的是无法作出一个关于基于缓存的权限访问决策,它发送请求到安全服务器。安全服务器检查应用程序或进程和文件的安全上下文。安全上下文从SELinux策略数据库应用。然后,被授权或拒绝。

如果权限被拒绝,一个“AVC:拒绝”的消息将在/var/log.messages可用。

如何配置的SELinux

有多种方法可以配置SELinux的保护您的系统。最常见的有针对性的政策和多级安全(MLS)。

有针对性的政策是默认选项,涵盖一系列的过程,任务和服务。MLS是非常复杂的,并且通常只由政府组织使用。

你可以告诉你的系统应该如何运行,在通过看的/ etc / SYSCONFIG / SELinux的文件。该文件将要加载你的SELinux是否在许可模式,强制模式,或禁用,并且政策应该显示的部分。

SELinux的标签和类型增强

执法型和标签是SELinux的最重要的概念。

SELinux的工作作为一个标签系统,这意味着所有的文件,进程,并在系统的端口与他们有关联的SELinux的标签。标签是分组的东西放在一起的逻辑方式。内核启动过程中管理标签。

标签的格式为用户:角色:类型:级别(级别是可选的)。用户,角色和级别SELinux中的更高级的实现中,像MLS。标签类型是有针对性的政策最重要的。

SELinux的使用类型强制执行是在系统中定义的策略。类型强制是一个SELinux策略定义是否与某种类型运行的进程可以访问标记某一类型文件的一部分。

启用S​​ELinux

如果SELinux的已经在您的环境中被禁用,您可以通过编辑中启用SELinux的在/ etc / SELinux的/ config并设置SELINUX =许可。由于SELinux的当前未启用,你不希望将其设置为强制执行的时候了,因为系统将可能有东西贴错标签,可以从启动保持系统。

您可以强制系统自动重新标记文件系统通过创建在根目录下名为.autorelabel一个空文件,然后重新启动。如果系统中有太多的错误,你应该同时许可模式,以便引导成功重新启动。一切都已经标注之后,SELinux的设置与在/ etc / SELinux的/ config并重启,或运行setenforce 1强制执行。

如果系统管理员是使用命令行不太熟悉,有可用于管理的SELinux提供的图形工具。

SELinux提供安全的为您的系统的附加层内置于Linux发行版。它应该保持上,这样,如果它遭到了破坏它可以保护您的系统。


自由访问控制(DAC)与强制访问控制(MAC)

传统上,Linux和UNIX系统使用DAC。SELinux的是用于Linux的MAC系统的一个例子。

随着DAC,文件和进程的所有者。您可以让用户自己的文件,一组自己的文件,或者其他,它可以是任何人。用户必须改变自己的文件的权限的能力。

根用户具有与的DAC系统的完全访问控制。如果你有root权限,那么你就可以访问任何其他用户的文件还是要在系统上不管。

但像SELinux的MAC系统,有行政周围设置访问策略。即使在你的主目录的DAC设置被更改,到位的SELinux策略,以防止其他用户或进程访问该目录将保持系统的安全。

SELinux策略让你具体,涵盖了大量的进程。你可以用SELinux的变化来限制用户,文件,目录和更多的之间的访问。


如何处理错误的SELinux

当你在SELinux中得到一个错误,有一些需要加以解决。这是可能的这4个常见问题1:

  1. 标签是错误的。如果你的标签是不正确,你可以使用这些工具来修复标签。
  2. 策略需要修复。这可能意味着你需要告诉SELinux的关于你所做的更改,或者您可能需要调整的政策。您可以使用布尔值或策略模块修复它。
  3. 还有就是政策中的错误。这可能是一个错误,需要加以解决的政策存在。
  4. 该系统已在向被打破。虽然SELinux的可以在很多情况下保护您的系统,受到破坏的系统的可能性仍然存在。如果怀疑是这种情况,立即采取行动。

什么是布尔值?

布尔是开/关在了SELinux功能的设置。有数以百计的设置,可以开启或关闭SELinux的能力,许多人已经预先定义。你可以找出哪些布尔已经在你的系统运行getsebool -a设置。

还有很多更多的是Linux的