html' target='_blank'>網(wǎng)絡(luò)安全是目前互聯(lián)網(wǎng)的熱門話題之一����,因為電腦安全一直是大家關(guān)心的,其中安全防護Selinux軟件非常不錯�����。許多小伙伴電腦都安裝安全防護Selinux軟件����,但不知道如何使用?為此���,接下來教程和大家講解一下安全防護Selinux軟件的使用方法。
具體介紹
SELinux(Security-Enhanced Linux) 是美國國家安全局(NSA)對于強制訪問控制的 實現(xiàn),是 Linux歷史上最杰出的新安全子系統(tǒng)��。NSA是在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系�,在這種訪問控制體系的限制下,進程只能訪問那些在他的 任務(wù)中所需要文件。SELinux 默認安裝在 Fedora 和 Red Hat Enterprise Linux 上,也可以作為其他發(fā)行版上容易安裝的包得到���,2000年以GNU GPL發(fā)布,Linux內(nèi)核2.6版本后集成在內(nèi)核中
DAC:Discretionary Access Control自由訪問控制
MAC:Mandatory Access Control 強制訪問控制
DAC環(huán)境下進程是無束縛的
MAC環(huán)境下策略的規(guī)則決定控制的嚴格程度
MAC環(huán)境下進程可以被限制的
策略被用來定義被限制的進程能夠使用那些資源(文件和端口)
默認情況下,沒有被明確允許的行為將被拒絕
selinux的工作類型
selinux一共有四種工作類型
strict:每個進程都受到selinux的控制
targeted:用來保護常見的網(wǎng)絡(luò)服務(wù),僅有限進程受到selinux控制��,系統(tǒng)當中默認設(shè)置類型
minimum:這個模式在centos7上���,是targeted的修改版��,只對選擇的網(wǎng)絡(luò)服務(wù)����,僅對選中的進程生效
mls:提供mls機制的安全性����,國防級別的
selinux安全上下文
傳統(tǒng)的linux,一切皆文件,由用戶����、組���、權(quán)限來進行訪問控制�����,這當中有很多的缺陷
在selinux中,一切皆對象(進程),有存放在inode的擴展屬性域的安全元素所控制其訪問
所有文件和端口資源和進程都具備安全標簽�,這就是安全上下文
安全上下文有五個元素組成
system_u:object_r:admin_home_t:s0
user:role:type:sensitivity:category
user:指示登錄系統(tǒng)的用戶類型��,如root,user_u,system_u,多數(shù)本地進程都屬于自由進程
role:定義文件,進程和用戶的用途����,文件:object_r,進程和用戶:system_r
type:指定數(shù)據(jù)類型,規(guī)則重定義何種進程類型訪問何種文件��,target策略基于type實現(xiàn)�,多服務(wù)功用,public_content_t
sensitivity:限制訪問的需要�����,由組織定義的分層安全級別,如unclassified,secret�,top,一個對象有且只有一個sensitivity���,分0-15個級別�����,s0最低,target策略默認使用是s0
category:對于特定組織劃分不分層的分類,如FBI secret,NSA secret,一個對象可以有多個category����, c0-c1023共1024個分類�,target策略不適用category
查看安全上下文
ls –Z ; ps -Z
期望(默認)上下文:存放在二進制的selinux策略庫中
semanage fcontext –l 查看系統(tǒng)中的默認安全上下文
@font-face {
font-family: “宋體”;
}@font-face {
font-family: “Cambria Math”;
}@font-face {
font-family: “Calibri”;
}@font-face {
font-family: “@宋體”;
}p.MsoNormal, li.MsoNormal, div.MsoNormal { margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: “Calibri”,”sans-serif”; }.MsoChpDefault { font-family: “Calibri”,”sans-serif”; }div.WordSection1 { }
selinux策略
對象(object):所有可以讀取的對象����,包括文件、目錄和進程,端口等
主體:進程稱為主題(subject)
selinux中對所有的文件都賦予一個type的文件類型標簽�����,對于所有的進程也賦予各自的一個domain標簽�����。domain標簽?zāi)軌驁?zhí)行的操作由安全策略里定義
當一個subject視圖訪問一個object����,kernel中的粗略執(zhí)行服務(wù)器將檢查AVC�,在AVC中�,subject和object的權(quán)限被緩存,查找應(yīng)用+文件的安全環(huán)境�����,然后根據(jù)查詢結(jié)果允許或拒絕訪問
安全策略:定義主體讀取對象的規(guī)則數(shù)據(jù)庫�����,規(guī)則中記錄了那個類型的主體使用了那個方法讀取哪一個對象是允許還是拒絕的�,并且定義了那種行為是允許或拒絕
設(shè)置selinux
配置selinux
selinux是否啟用
鄭重聲明:本文版權(quán)歸原作者所有����,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標記有誤�,請第一時間聯(lián)系我們修改或刪除�����,多謝。
