html' target='_blank'>網絡安全是目前互聯網的熱門話題之一,因為電腦安全一直是大家關心的,其中安全防護Selinux軟件非常不錯�����。許多小伙伴電腦都安裝安全防護Selinux軟件���,但不知道如何使用�����?為此����,接下來教程和大家講解一下安全防護Selinux軟件的使用方法����。
具體介紹
SELinux(Security-Enhanced Linux) 是美國國家安全局(NSA)對于強制訪問控制的 實現���,是 Linux歷史上最杰出的新安全子系統��。NSA是在Linux社區的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下�����,進程只能訪問那些在他的 任務中所需要文件���。SELinux 默認安裝在 Fedora 和 Red Hat Enterprise Linux 上����,也可以作為其他發行版上容易安裝的包得到,2000年以GNU GPL發布��,Linux內核2.6版本后集成在內核中
DAC:Discretionary Access Control自由訪問控制
MAC:Mandatory Access Control 強制訪問控制
DAC環境下進程是無束縛的
MAC環境下策略的規則決定控制的嚴格程度
MAC環境下進程可以被限制的
策略被用來定義被限制的進程能夠使用那些資源(文件和端口)
默認情況下����,沒有被明確允許的行為將被拒絕
selinux的工作類型
selinux一共有四種工作類型
strict:每個進程都受到selinux的控制
targeted:用來保護常見的網絡服務,僅有限進程受到selinux控制���,系統當中默認設置類型
minimum:這個模式在centos7上,是targeted的修改版��,只對選擇的網絡服務����,僅對選中的進程生效
mls:提供mls機制的安全性��,國防級別的
selinux安全上下文
傳統的linux���,一切皆文件����,由用戶���、組���、權限來進行訪問控制����,這當中有很多的缺陷
在selinux中,一切皆對象(進程)�����,有存放在inode的擴展屬性域的安全元素所控制其訪問
所有文件和端口資源和進程都具備安全標簽,這就是安全上下文
安全上下文有五個元素組成
system_u:object_r:admin_home_t:s0
user:role:type:sensitivity:category
user:指示登錄系統的用戶類型����,如root��,user_u,system_u,多數本地進程都屬于自由進程
role:定義文件,進程和用戶的用途���,文件:object_r,進程和用戶:system_r
type:指定數據類型,規則重定義何種進程類型訪問何種文件�,target策略基于type實現����,多服務功用�����,public_content_t
sensitivity:限制訪問的需要,由組織定義的分層安全級別����,如unclassified�����,secret,top,一個對象有且只有一個sensitivity,分0-15個級別,s0最低,target策略默認使用是s0
category:對于特定組織劃分不分層的分類�����,如FBI secret���,NSA secret�,一個對象可以有多個category, c0-c1023共1024個分類,target策略不適用category
查看安全上下文
ls –Z ; ps -Z
期望(默認)上下文:存放在二進制的selinux策略庫中
semanage fcontext –l 查看系統中的默認安全上下文
@font-face {
font-family: “宋體”;
}@font-face {
font-family: “Cambria Math”;
}@font-face {
font-family: “Calibri”;
}@font-face {
font-family: “@宋體”;
}p.MsoNormal, li.MsoNormal, div.MsoNormal { margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: “Calibri”,”sans-serif”; }.MsoChpDefault { font-family: “Calibri”,”sans-serif”; }div.WordSection1 { }
selinux策略
對象(object):所有可以讀取的對象����,包括文件���、目錄和進程���,端口等
主體:進程稱為主題(subject)
selinux中對所有的文件都賦予一個type的文件類型標簽�,對于所有的進程也賦予各自的一個domain標簽���。domain標簽能夠執行的操作由安全策略里定義
當一個subject視圖訪問一個object�,kernel中的粗略執行服務器將檢查AVC�,在AVC中,subject和object的權限被緩存,查找應用+文件的安全環境�,然后根據查詢結果允許或拒絕訪問
安全策略:定義主體讀取對象的規則數據庫�����,規則中記錄了那個類型的主體使用了那個方法讀取哪一個對象是允許還是拒絕的,并且定義了那種行為是允許或拒絕
設置selinux
配置selinux
selinux是否啟用
鄭重聲明:本文版權歸原作者所有�����,轉載文章僅為傳播更多信息之目的���,如作者信息標記有誤���,請第一時間聯系我們修改或刪除�����,多謝�����。
