SELinux入門的示例分析
這篇文章給大家分享的是有關SELinux入門的示例分析的內容。小編覺得挺實用的�����,因此分享給大家做個參考�����,一起跟隨小編過來看看吧。
回到 Kernel 2.6 時代�����,那時候引入了一個新的安全系統(tǒng)�����,用以提供訪問控制安全策略的機制����。這個系統(tǒng)就是 Security Enhanced Linux (SELinux),它是由美國國家安全局(NSA)貢獻的����,它為 Linux 內核子系統(tǒng)引入了一個健壯的強制控制訪問Mandatory Access Control架構。
如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux�����,這篇文章就是專門為你寫的:這是一篇對存在于你的 Linux 桌面或服務器之下的 SELinux 系統(tǒng)的介紹����,它能夠限制權限�����,甚至消除程序或守護進程的脆弱性而造成破壞的可能性����。
在我開始之前�����,你應該已經(jīng)了解的是 SELinux 主要是紅帽 Red Hat Linux 以及它的衍生發(fā)行版上的一個工具����。類似地, Ubuntu 和 SUSE(以及它們的衍生發(fā)行版)使用的是 AppArmor����。SELinux 和 AppArmor 有顯著的不同����。你可以在 SUSE,openSUSE�����,Ubuntu 等等發(fā)行版上安裝 SELinux,但這是項難以置信的挑戰(zhàn)�����,除非你十分精通 Linux����。
說了這么多,讓我來向你介紹 SELinux�����。
DAC vs. MAC
Linux 上傳統(tǒng)的訪問控制標準是自主訪問控制Discretionary Access Control(DAC)����。在這種形式下,一個軟件或守護進程以 User ID(UID)或 Set owner User ID(SUID)的身份運行����,并且擁有該用戶的目標(文件、套接字����、以及其它進程)權限。這使得惡意代碼很容易運行在特定權限之下����,從而取得訪問關鍵的子系統(tǒng)的權限�����。
另一方面����,強制訪問控制Mandatory Access Control(MAC)基于保密性和完整性強制信息的隔離以限制破壞�����。該限制單元獨立于傳統(tǒng)的 Linux 安全機制運作�����,并且沒有超級用戶的概念�����。
SELinux 如何工作
考慮一下 SELinux 的相關概念:
主體Subjects
目標Objects
策略Policy
模式Mode
當一個主體Subject(如一個程序)嘗試訪問一個目標Object(如一個文件)����,SELinux 安全服務器SELinux Security Server(在內核中)從策略數(shù)據(jù)庫Policy Database中運行一個檢查�����。基于當前的模式mode�����,如果 SELinux 安全服務器授予權限����,該主體就能夠訪問該目標。如果 SELinux 安全服務器拒絕了權限�����,就會在 /var/log/messages 中記錄一條拒絕信息�����。
聽起來相對比較簡單是不是����?實際上過程要更加復雜,但為了簡化介紹����,只列出了重要的步驟�����。
模式
SELinux 有三個模式(可以由用戶設置)����。這些模式將規(guī)定 SELinux 在主體請求時如何應對�����。這些模式是:
Enforcing 強制— SELinux 策略強制執(zhí)行�����,基于 SELinux 策略規(guī)則授予或拒絕主體對目標的訪問
Permissive 寬容— SELinux 策略不強制執(zhí)行�����,不實際拒絕訪問����,但會有拒絕信息寫入日志
Disabled 禁用— 完全禁用 SELinux
圖 1:getenforce 命令顯示 SELinux 的狀態(tài)是 Enforcing 啟用狀態(tài)。
默認情況下����,大部分系統(tǒng)的 SELinux 設置為 Enforcing。你要如何知道你的系統(tǒng)當前是什么模式�����?你可以使用一條簡單的命令來查看����,這條命令就是 getenforce。這個命令用起來難以置信的簡單(因為它僅僅用來報告 SELinux 的模式)����。要使用這個工具,打開一個終端窗口并執(zhí)行 getenforce 命令�����。命令會返回 Enforcing����、Permissive,或者 Disabled(見上方圖 1)�����。
設置 SELinux 的模式實際上很簡單——取決于你想設置什么模式。記?���。河肋h不推薦關閉 SELinux。為什么����?當你這么做了,就會出現(xiàn)這種可能性:你磁盤上的文件可能會被打上錯誤的權限標簽����,需要你重新標記權限才能修復。而且你無法修改一個以 Disabled 模式啟動的系統(tǒng)的模式�����。你的最佳模式是 Enforcing 或者 Permissive����。
你可以從命令行或 /etc/selinux/config 文件更改 SELinux 的模式。要從命令行設置模式����,你可以使用 setenforce 工具。要設置 Enforcing 模式�����,按下面這么做:
圖 2:設置 SELinux 模式為 Enforcing。
要設置模式為 Permissive�����,這么做:
圖 3:設置 SELinux 模式為 Permissive�����。
注:通過命令行設置模式會覆蓋 SELinux 配置文件中的設置����。
如果你更愿意在 SELinux 命令文件中設置模式�����,用你喜歡的編輯器打開那個文件找到這一行:
SELINUX=permissive
你可以按你的偏好設置模式����,然后保存文件。
還有第三種方法修改 SELinux 的模式(通過 bootloader)����,但我不推薦新用戶這么做�����。
策略類型
SELinux 策略有兩種:
你可以在 /etc/selinux/config 文件中修改策略類型�����。用你喜歡的編輯器打開這個文件找到這一行:
SELINUXTYPE=targeted
修改這個選項為 targeted 或 strict 以滿足你的需求�����。
檢查完整的 SELinux 狀態(tài)
有個方便的 SELinux 工具,你可能想要用它來獲取你啟用了 SELinux 的系統(tǒng)的詳細狀態(tài)報告�����。這個命令在終端像這樣運行:
sestatus -v
你可以看到像圖 4 那樣的輸出����。
圖 4:sestatus -v 命令的輸出。
感謝各位的閱讀�����!關于“SELinux入門的示例分析”這篇文章就分享到這里了�����,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識�����,如果覺得文章不錯����,可以把它分享出去讓更多的人看到吧!
