SELinux介绍-jieforest-ChinaUnix博客

一名系统架构师的博客

首页　| 　博文目录　| 　关于我

jieforest

博客访问： 4109197
博文数量： 626
博客积分： 10
博客等级：民兵
技术积分： 11080
用户组：普通用户
注册时间： 2012-08-23 13:08

文章分类

全部博文（626）

关系数据库（1）
Scala（1）
Node.js（1）
Web服务（1）
Linux（3）
虚拟化（5）
JavaEE（7）
PHP（1）
前端框架（1）
Ruby（1）
网络通信（11）
安全（1）
Erlang（1）
分布式计算（2）
Linux（3）
HTML5（2）
NoSQL（10）
应用服务器（4）
大数据（4）
IDE开发工具（4）
前沿趋势（4）
游戏引擎（2）
Python（3）
数据分析＆数据挖（3）
Scala（2）
云计算＆云存储（7）
Node.JS（19）
web开发（20）
消息中间件（13）
移动开发（13）
数据库及工具（25）
嵌入式开发（10）
QT及GTK+界面设计（1）
JVM（23）
操作系统（13）
高并发（1）
Hadoop（1）
行业工具（14）
文献工具EndNote（5）
RIA技术（8）
图形图像（2）
PHP（1）
java工具（34）
DTV数字电视（30）
表现层技术（2）
脚本技术（20）
项目跟踪JTrac（1）
JSF（19）
GWT＆GAE（5）
软件项目管理（9）
JavaEE开发（71）
C++（3）
杂文（18）
Java&算法（61）
Ant与Maven（3）
Java报表及其工具（12）
数据挖掘（Data&n（3）
软件体系结构（10）
Web测试与软件测（40）
软件工程（9）
软件工程工具（5）
防火墙技术（0）
排版TeX和LaTeX（4）
未分配的博文（13）

文章存档

2015年（72）

2014年（48）

2013年（506）

我的朋友

相关博文

SELinux介绍

分类： LINUX

2013-09-27 09:56:53

SELinux介绍

SELinux全称为Security-Enhanced Linux，是一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。

SELinux是由美国国家安全局NSA对于强制访问控制的实现，是 Linux上最杰出的新安全子系统。SELinux可以最大限度地保证Linux系统的安全。

SELinux 是2.6版本的Linux内核提供的强制访问控制(MAC)系统。对于目前可用的Linux安全模块来说，SELinux是功能最全面，而且测试最充分的，它是在20年的MAC研究基础上建立的。SELinux在类型强制服务器中合并了多级安全性或一种可选的多类策略，并采用了基于角色的访问控制概念。

没有SELinux保护的Linux的安全级别和Windows一样，是C2级，但经过保护SELinux保护的Linux，安全级别则可以达到B1级。如：我们把/tmp目录下的所有文件和目录权限设置为0777，这样在没有SELinux保护的情况下，任何人都可以访问/tmp下的内容。而在SELinux环境下，尽管目录权限允许你访问/tmp下的内容，但SELinux的安全策略会继续检查你是否可以访问。

NSA推出的SELinux安全体系结构称为Flask，在这一结构中，安全性策略的逻辑和通用接口一起封装在与操作系统独立的组件中，这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性策略，由类型实施 (TE)、基于角色的访问控制(RBAC)和多级安全(MLS) 组成。通过替换安全服务器，可以支持不同的安全策略。

ELinux使用策略配置语言定义安全策略，然后通过checkpolicy编译成二进制形式，存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中，在内核引导时读到内核空间。这意味着安全性策略在每次系统引导时都会有所不同。

ELinux的策略分为两种，一个是目标(targeted)策略，另一个是严格(strict)策略。目标策略仅针对部分系统网络服务和进程执行SELinux策略，而严格策略是执行全局的NSA默认策略。目标策略模式下，9个（可能更多）系统服务受SELinux监控，而严格策略下几乎所有的网络服务都受控。

SELinux配置文件是/etc/selinux/config，一般测试过程中使用“permissive”模式，这样仅会在违反SELinux规则时发出警告，然后修改规则，最后由用户觉得是否执行严格“enforcing”的策略，禁止违反规则策略的行为。规则决定SELinux的工作行为和方式，策略决定具体的安全细节如文件系统，文件一致性。

在安装过程中，可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。安装之后，可以在“应用程序”-->“系统设置”-->“安全级别”，或者直接在控制台窗口输入“system-config-securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中，我们不但可以设置“启用”或者“禁用”SELinux，而且还可以对已经内置的SELinux策略进行修改。

SELinux相关命令：
ls -Z
ps -Z
id -Z
分别可以看到文件,进程和用户的SELinux属性。
chcon 改变文件的SELinux属性。
getenforce/setenforce查看和设置SELinux的当前工作模式。
修改配置文件/etc/selinux/config后，需要重启系统来启动SELinux新的工作模式。

SELinux是一种基于“域-类型”（domain-type）模型的强制访问控制（MAC）安全系统，它由NSA编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。标准的UNIX安全模型是"任意的访问控制"DAC。就是说，任何程序对其资源享有完全的控制权。

阅读(1124) | 评论(0) | 转发(0) |

上一篇：TFTP协议介绍

下一篇： Python学习笔记(5)

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6