【ACCESS精品源码栏目提醒】:网学会员为需要ACCESS精品源码的朋友们搜集整理了SELinux培训_最好资料 - 讲义教程相关资料,希望对各位网友有所帮助!
安全策略培训 中标软件信息安全技术创新实验室 内容 安全策略的历史 安全策略的分类 安全策略的开启关闭 安全策略配置文件简介 安全策略常用命令 安全策略常见名字与概念 编写简单策略 制作策略的rpm包以及策略安装的注意事项 SELinux问题分析步骤总结 SELinux的历史 安全策略简称SELinux SELinux是Security-Enhanced Linux的简称是美国国家安全局”NSAThe National Security Agency”和SCCSecure Computing Corporation开发的 Linux的一个扩张强制访问控制安全模块。
原先是在Fluke上开发的2000年以 GNU GPL 发布 SELinux其中一个创作者认为软件失效是必然的 操作系统安全的必要性对整个系统安全而言是不可争辩的如果它失效了将导致整个系统变得脆弱。
脱离操作系统支持的安全设计就象quot建造在沙子之上城堡quot一样没有安全基础 安全策略分类 目前市场主流的Linux版本都支持SELinux如中标麒麟安全操作系统RHELCentos Fedora 系列等 现有SELinux 主要有 refpolicy引用策略 主页:http://oss.tresys.com/projects targeted目标策略 mls多级别安全策略 ………….. 安全操作系统采用的策略为refpolicy策略 安全策略开启关闭 在安全操作系统上SELinux其状态有三种: Enforcing Permissive disabled 查看SELinux状态可用sestatus 以及getenforce命令 如何开启关闭SELinux也即在三种状态之间切换 使用secadm用户登录安全操作系统 setenforce 0 ----将SELinux状态调为permissive setenforce 1 ----将SELinux状态调为Enforcing 如要将SELinux策略置为disabled则需要修改SELinux配置文件然后重启系统 SELinux配置文件 SELinux配置文件有: /boot/grug/grub.conf /etc/selinux/config password --md5 1aTSOBfOaakTgOrnat5HQgg7nYXlkc0 title NeoKylin Linux Security OS 2.6.18-164.el5 root hd00 kernel /vmlinuz-2.6.18-164.el5 ro rootLABEL/1 rhgb quiet selinux1 enforcing0 initrd /initrd-2.6.18-164.el5.img 其中selinux 1 表示开机启动SELinux enforcing 0 表示SELinux的状态为permissive bash-3.2 more /etc/selinux/config This file controls the state of SELinux on the system. SELINUX can take one of these three values: enforcing - SELinux security policy is enforced. permissive - SELinux prints warnings instead of enforcing. disabled - SELinux is fully disabled. SELINUXenforcing SELINUXTYPE type of policy in use. Possible values are: targeted - Only targeted network daemons are protected. strict - Full SELinux protection. SELINUXTYPErefpolicy 系统对两个文件的读取方式: 当grub.conf中有相SELinux相关选项时则读取grub.conf中的配置信息而不读取/etc/selinux/config中的信息否则读取/etc/selinux/config中的信息 SELINUX enforcing 表示SELinux状态为enforcing SELINUXTYPErefpolicy 表示策略类型为 refpolicy SELinux常用命令 getenforce 查看当前系统SELinux状态 setenforce 设置当前系统SELinux状态 seinfo 查看当前系统SELinux信息 sestatus 查看当前系统SELinux详细状态 semoudle 对SELinux模块进行管理 chcon 更改文件、目录、设备的安全上下文 restorecon 恢复文件、目录、设备的安全上下文 sesearch 查看系统详细策略信息 SELinux 常见概念 A 主体 B 客体 C DAC/MAC D 类型强制的安全上下文 E 域 F 策略 G 域转换 主体: 在SELinux中主体通常指的是进程 客体 1.客体通常是用于信息共享、存储和通讯的系统资源如文件、目录、套接字、共享内存等。
2.客体类别:一个客体类别代表某个确定类型如文件或套接字的所有资源 3.一个客体类别的实例如某个特定的文件或套接字被称为一个客体 如/etc/passwd这个文件我们称之为客体 DAC 在标准Linux所采用的访问类型为任意访问类型即DAC DAC特点基于用户标识的访问控制 如一个文件文件