linux課程資源Selinux配置 省賽獲獎

模塊3

LINUX網(wǎng)絡(luò)管理及

服務(wù)配置主講人：芮坤坤3.8LinuxSelinux配置Selinux配置Selinux安全性概念Selinux模式Selinux測試Selinux配置3.8.1Selinux安全性概念SELinux是美國國家安全局（NSA）在Linux社區(qū)的幫助下開發(fā)的，它能夠?qū)崿F(xiàn)靈活的強(qiáng)制訪問控制（MAC，MandatoryAccessControl）體系結(jié)構(gòu)。SELinux不是一個Linux的發(fā)行版，而是集成在Linux內(nèi)核中的安全子系統(tǒng)，能夠提供一個可定制的安全策略（SecurityPolicy）。SELinux還包括一系列的用戶工具，使用戶能夠自定義SELinux策略所定義的規(guī)則和功能。SELinux安全策略由一系列的安全規(guī)則組成，規(guī)則具體定義了每個進(jìn)程能夠使用哪些端口訪問哪些文件、目錄等資源。也就是說，啟用了SELinux的系統(tǒng)不再只根據(jù)DAC所定義的用戶和文件的權(quán)限來實現(xiàn)訪問控制，而且會對每個進(jìn)程所能做的操作加以顆?；刂?。SELinux對所有的進(jìn)程、文件、目錄和端口的訪問，都是基于定制好的策略執(zhí)行的，策略只能由root管理員修改，普通用戶沒有權(quán)限自定義SELinux策略，這種徹底的訪問控制方式稱作“強(qiáng)制訪問控制（MAC）”。3.8.1Selinux安全性概念3.8.1Selinux安全性概念（1）主體SELinux將進(jìn)程（Process）稱作主體（Subject）。（2）對象SELinux將主體所訪問的文件、目錄、端口等資源稱作對象（Object）。（3）安全上下文每個進(jìn)程、文件、目錄和端口都有特別的安全標(biāo)記，稱作SELinux安全上下文（SecurityContext）。因為SELinux需要為每個進(jìn)程規(guī)定它能夠訪問的文件、目錄和端口等資源，而系統(tǒng)中的文件可以無限量增長，所以，一個一個地指定進(jìn)程能夠訪問的文件是不可能的。因此，SELinux設(shè)計了很多安全標(biāo)記，每個進(jìn)程有特定的安全標(biāo)記，每一個傳輸層端口也對應(yīng)特定的安全標(biāo)記，位于特定目錄下的文件，也會有規(guī)劃好的安全標(biāo)記。安全標(biāo)記只是一個名稱，能夠讓SELinux根據(jù)策略來決定每個進(jìn)程是否能夠訪問特定的文件、目錄和端口。3.8.1Selinux安全性概念（4）域SELinux將進(jìn)程的類型上下文稱作域（Domain）。比如，Apache服務(wù)器主進(jìn)程httpd的類型上下文是“httpd_t”。注意，這里的“域”與域名系統(tǒng)（DNS）中的“域”不是一個概念，進(jìn)程的域，用工作“領(lǐng)域”來形容更好理解。（5）對象的類型上下文SELinux為每一個文件、目錄和端口等對象定義了專門的安全上下文，其中最重要的就是類型（Type）上下文。比如，Apache服務(wù)器的網(wǎng)站根目錄“/var/www/html”目錄及其內(nèi)部所有文件具有類似“httpd_sys_content_t”這樣的類型上下文。位于“/tmp”和“/var/tmp”目錄內(nèi)的文件具有“tmp_t”類型上下文。Apache服務(wù)器所使用的TCP80和443端口具有“http_port_t”類型上下文。3.8.1Selinux安全性概念（6）安全策略安全策略（SecurityPolicy）就是用來確定哪個進(jìn)程能夠訪問哪些文件、目錄、端口等對象的一系列安全規(guī)則。安全策略是一個存儲了許多規(guī)則的數(shù)據(jù)庫，當(dāng)前RedHatEnterpriseLinux主要提供了兩類安全策略，每類安全策略的側(cè)重點有所不同。①targeted：主要用來保護(hù)常見的網(wǎng)絡(luò)服務(wù)，這是默認(rèn)使用的安全策略。②strict：用來保護(hù)系統(tǒng)所有進(jìn)程