當前位置 主頁 > 服務器問題 > Linux/apache問題 > 最大化 縮小

    SELinux 入門詳解

    欄目:Linux/apache問題 時間:2020-02-05 21:55

    回到 Kernel 2.6 時代,那時候引入了一個新的安全系統,用以提供訪問控制安全策略的機制。這個系統就是 Security Enhanced Linux (SELinux),它是由美國國家安全局(NSA)貢獻的,它為 Linux 內核子系統引入了一個健壯的強制控制訪問Mandatory Access Control架構。

    如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,這篇文章就是專門為你寫的:這是一篇對存在于你的 Linux 桌面或服務器之下的 SELinux 系統的介紹,它能夠限制權限,甚至消除程序或守護進程的脆弱性而造成破壞的可能性。

    在我開始之前,你應該已經了解的是 SELinux 主要是紅帽 Red Hat Linux 以及它的衍生發行版上的一個工具。類似地, Ubuntu 和 SUSE(以及它們的衍生發行版)使用的是 AppArmor。SELinux 和 AppArmor 有顯著的不同。你可以在 SUSE,openSUSE,Ubuntu 等等發行版上安裝 SELinux,但這是項難以置信的挑戰,除非你十分精通 Linux。

    說了這么多,讓我來向你介紹 SELinux。

    DAC vs. MAC

    Linux 上傳統的訪問控制標準是自主訪問控制Discretionary Access Control(DAC)。在這種形式下,一個軟件或守護進程以 User ID(UID)或 Set owner User ID(SUID)的身份運行,并且擁有該用戶的目標(文件、套接字、以及其它進程)權限。這使得惡意代碼很容易運行在特定權限之下,從而取得訪問關鍵的子系統的權限。

    另一方面,強制訪問控制Mandatory Access Control(MAC)基于保密性和完整性強制信息的隔離以限制破壞。該限制單元獨立于傳統的 Linux 安全機制運作,并且沒有超級用戶的概念。

    SELinux 如何工作

    考慮一下 SELinux 的相關概念:

    主體Subjects 目標Objects 策略Policy 模式Mode

    當一個主體Subject(如一個程序)嘗試訪問一個目標Object(如一個文件),SELinux 安全服務器SELinux Security Server(在內核中)從策略數據庫Policy Database中運行一個檢查。基于當前的模式mode,如果 SELinux 安全服務器授予權限,該主體就能夠訪問該目標。如果 SELinux 安全服務器拒絕了權限,就會在 /var/log/messages 中記錄一條拒絕信息。

    聽起來相對比較簡單是不是?實際上過程要更加復雜,但為了簡化介紹,只列出了重要的步驟。

    模式

    SELinux 有三個模式(可以由用戶設置)。這些模式將規定 SELinux 在主體請求時如何應對。這些模式是:

    Enforcing 強制— SELinux 策略強制執行,基于 SELinux 策略規則授予或拒絕主體對目標的訪問 Permissive 寬容— SELinux 策略不強制執行,不實際拒絕訪問,但會有拒絕信息寫入日志 Disabled 禁用— 完全禁用 SELinux

    圖 1:getenforce 命令顯示 SELinux 的狀態是 Enforcing 啟用狀態。

    默認情況下,大部分系統的 SELinux 設置為 Enforcing。你要如何知道你的系統當前是什么模式?你可以使用一條簡單的命令來查看,這條命令就是 getenforce。這個命令用起來難以置信的簡單(因為它僅僅用來報告 SELinux 的模式)。要使用這個工具,打開一個終端窗口并執行 getenforce 命令。命令會返回 Enforcing、Permissive,或者 Disabled(見上方圖 1)。

    設置 SELinux 的模式實際上很簡單——取決于你想設置什么模式。記住:永遠不推薦關閉 SELinux。為什么?當你這么做了,就會出現這種可能性:你磁盤上的文件可能會被打上錯誤的權限標簽,需要你重新標記權限才能修復。而且你無法修改一個以 Disabled 模式啟動的系統的模式。你的最佳模式是 Enforcing 或者 Permissive。

    你可以從命令行或 /etc/selinux/config 文件更改 SELinux 的模式。要從命令行設置模式,你可以使用 setenforce 工具。要設置 Enforcing 模式,按下面這么做:

    下一篇:沒有了
777亚洲人成视频免费视频