标签存档: SELinux

SELinux简明入门教程:了解和配置SELinux

几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。
SELinux 与强制访问控制系统
SELinux 全称 Security Enhanced Linux (安全强化 Linux),是 MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。
强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复。
阅读全文——共4769字

SELinux 入门教程

http://tech.ddvip.com/2007-03/117293092419970.html 2007年03月03日
http://unix-cd.com/unixcd12/article_6779.html
本文讲述的系统安全模块SeLinux,为初学者详细介绍了SeLinux的特点以及配置过程。
1.背景
阅读全文——共13863字

SELinux 中基于角色的访问控制,了解如何使用管理员友好的安全管理层

Serge E. Hallyn (sergeh@us.ibm.com), 软件工程师, IBM 2008 年 3 月 06 日
基于角色的访问控制(Role-based access control,RBAC)是通用的安全模型,可以通过把角色分配给用户然后把权限分配给这些角色来简化管理。RBAC 在 Security-Enhanced Linux (SELinux) 中用作用户与底层类型增强(Type Enforcement,TE)模型之间的抽象层,用于提供细粒度的访问控制,但是并不是针对简化管理。了解如何将 SELinux 环境的三个部分(策略、内核和用户空间)结合使用以增强 RBAC 并把 Linux® 用户绑定到 TE 策略中。
阅读全文——共10949字

安全增强 Linux (SELinux) 剖析 架构和实现

作者 M. Tim Jones, 顾问工程师, Emulex Corp. 2008 年 6 月 02 日
Linux® 一直被认为是最安全的操作系统之一,但是通过引入安全增强 Linux(Security-Enhanced Linux,SELinux),National Security Agency (NSA) 将 Linux 的安全性提升到了新的高度。SELinux 通过对内核和用户空间进行修改,对现有的 GNU/Linux 操作系统进行了扩展,从而使其变得坚不可摧。如果您现在正在使用 2.6 版的内核,就会惊奇地发现您已经在使用 SELinux 了!本文将探究 SELinux 背后的思想及其实现方法。
阅读全文——共6347字

入门理解SELinux,创建SELinux策略

SELinux并不是象许多人想的那样难以管理。现代Linux发行版都装载了许许多多的安全特性和工具,大部分重要的特性都被添加到内核中去了,如SELinux。
SELinux在安全方面解决了许多具有挑战性的问题,如何控制信任用户或进程,信任用户,如在*nix域的root用户,可以无限制地访问系统,而这个账号应该只有系统管理员可用,但是,这会引起一个问题,如果root本身被黑会发生什么,让黑客可以完全控制整个系统,恶意用户不是唯一的问题,错误配置一个安全工具,如iptables,导致隐藏极深难以发现的问题,除此之外,假设在你服务器上运行的服务有一个安全漏洞被发现,而且补丁还没有发布出来,假如这样,你的系统就很脆弱,SELinux通过在内核中实施强制访问控制(MAC)来解决了这些安全问题,SELinux基于Flask安全框架,本文不打算讨论Flask框架,在互联网上可以找到有关它的优秀文档。
阅读全文——共4000字

从头开始生成 SELinux,构建一个 SELinux 就绪的 Gentoo 系统

Serge E. Hallyn (sergeh@us.ibm.com), 专职程序员, EMC 发布日期: 2006 年 6 月 19 日
简介
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。有关这些主题的更多信息的链接,请参见本文后面的 参考资料 部分。
大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。
阅读全文——共10648字