selinux: omfattende sikkerhed til en pris af anvendelighed

, drage fordel af selinux er dobbelt.for det første erstatter brugeren model med en politik centreret model.enhver aktion, som løber en ansøgning eller aflæsning og ændring af data, som er kontrolleret af en sikkerhedspolitik.handlinger, der krænker politik nægtes.desuden selinux adskiller de forskellige applikationer og processer på systemet.dette bidrager ikke kun til at isolere et indbrud, men også begrænser de skader, der er forårsaget af en fare,.,, selinux sættes til linux distribution gennem linux sikkerhed - modul (25) kroge, som er til rådighed i 2.6. x kerne - serien.25 var designet til at integrere sikkerhed modeller til at arbejde med kernen i stedet for at anvende dem som et plaster.,,, selinux livsstil, kernen i selinux er dens politik.når national security agency (nsa) udleveret selinux til open source - fællesskab, de havde bare én politik, kaldte den strenge politik.den strenge politik følger idéen om en whitelist, hvilket betyder, at misligholdelse politik er at nægte ansøgninger adgang, medmindre de ' er specifikt tilladt.,, denne politik sammen med hat kerne. 2.i strømningsregulatoren fc2, selinux låse alt ned og den strenge politik er en samling af giver udtalelser.men en sådan politik har behov for regelmæssig vedligeholdelse og skal holdes opdateret med alle ændringer til udformning af systemet.så hvis du installere nye ansøgninger eller anvende en eksisterende anvendelse på en måde, de politiske forfatter har ' ikke forudsige, den strenge politik vil klage.den strenge politik fungerer bedst i et kontrolleret miljø, men ikke kun godt på en regelmæssig desktop.,,,,, forvaltning af selinux i hat centrale 6 - klik på, at overvinde problemer med konsekvent politik, hat centrale 3 indført målrettede politik.i modsætning til den strenge politik, en målrettet politik er en liste over ' nægte ' erklæringer.i henhold til det, som standard selinux tillader, at alle foranstaltninger, som giver en desktop - brugernes frihed til at anvende ordningen, som om selinux var ' ikke tændt.og alligevel ved at begrænse visse målrettede ansøgninger, og' vil beskytte de kritiske net dæmoner.denne politik har også fundet vej ind i rød hat enterprise linux (rhel) 4.,,, at ', også når selinux ingeniører i rød hat rettet deres opmærksomhed mod resultater tuning.den selinux hat centrale 5 faq hævder en 7% indvirkning på resultater, da det var sidste »benchmarkes«.jeg prøvede selinux på hat centrale 6, der praler af flere resultater forbedringer, og der var ' t nogen mærkbar forskel i resultaterne, med eller uden selinux aktiveret.,,, type håndhævelse, gå lidt dybere, selinux ' s politikker er faktisk baseret på adgang til begrebet type håndhævelse (te).te bruger en " sikkerhedssituation " attribut gør sin adgang beslutninger.i henhold til selinux denne sikkerhedskonteksten er tre elementer, bruger, rolle og type.,,, te bruger en matrix, der indeholder regler om adgang til afslutning.disse er forpligtet til at give de forskellige brugere og programmer til emner, rettigheder over filer, muffer og netværk værter, genstande, ved at tilpasse deres sikkerhedssituation.så, det er f.eks. hvordan selinux afgør, om en ansøgning, x (om) er tilladt at skrive (aktion) til fil y (indsigelse).,, selinux ændrer flere fælles system værker, således at de kan vise den sikkerhed, inden for rammerne af genstande og personer med - z - mulighed.for eksempel er - z, vil udvise sikkerhed i forbindelse med fil system objekter i den nuværende fortegnelse, id - z, vil udvise sikkerhedssituation for brugeren og ps - z, vil udvise sikkerhed inden for de nuværende processer.,, hvordan det hele omsættes til en politik fil?her og' en artikel fra en målrettet politik:,,,, at user_t bin_t: fil (læs henrette getattr},,,,,,,, ansøgninger med den type, user_t (om), har lov til at læse - og få attributter for alle genstande i klasse filer, der har den type bin_t i deres sikkerhed sammenhæng.,, regel gælder kun for de sagsakter, genstande, der har den type bin_t. det er ' t gælder for genstande, der er bin_t type, men ikke af fil klasse og heller ikke at indgive genstande, som ikke har bin_t som deres type.det kan virke forvirrende, men man skal forstå omfanget af kontrol selinux tillader.,,,,,,, at selinux nemmere at arbejde med,,, jeg har skrevet om selinux tidligere, og det grundlæggende er stadig de samme.men politik er, hvor gummi rammer den vej, og de har udviklet sig med hver overgang.hat centrale nu skibe med målrettede politikker til at omfatte alle større net.desuden selinux under fc6 omfatter en ny multi - kategori sikkerhed (mcs) politik, der er baseret på de multilaterale sikkerhed (mls) adgangskontrol mekanisme.ved mærkning, sikkerhed, mærkning, filer, mls kan klassificere dem med forskellige holdninger.,,,,, setroubleshoot utility - klik på, revision af støtte i selinux er også ved at blive udarbejdet.adgang til vektor cache (avc) meddelelser er revisionen signaler, der genereres af selinux som følge af adgang benægtelser, men mange admins havde en svær tid giver mening for alle " avc: nægtet " beskeder at fylde deres system kævler i fc2 /fc3.nu, admins har flere let at bruge værktøjer til at forstå alle de selinux revision beskeder.,, tresys bundter flere grafiske og command-line værktøjer til politik og revision besked analyse i sin setools pakke.et nyttigt værktøj er selinux hoved problemløser, at debuted i fc6.den skanner revision kævler efter avc beskeder.når de finder en, indberetninger brugeren med en kort og let forståelig beskrivelse af benægtelse, og foreslår et fix.,,, forståelse og skabe en ny skik selinux politik ikke er barn og' spille.- politik er konstrueret til at være en let at bruge og forstå grundlag til at skrive en ny politik.fc5 anvender de politikker, der er baseret på dette skema.- er en integreret udvikling, miljø (ide), som sættes til solformørkelsen sdk og bidrager til at skabe en politik, der bygger på reference politik.,,,,, selinux indgåelse, er en meget moden vare.nsa har arbejdet på den i flere år, før frigivelsen af det til open source - ef - i december 2000.selv nu er blevet arbejdet på mange enkeltpersoner og virksomheder.personer, der er ansvarlige for anvendelsen og datasikkerhed, vil forstå, selinux ' s robusthed i forbindelse med nul dag udnytter og dårligt udformede ansøgninger.røde hat og tresys begge synes at være meget interesseret i at selinux let at bruge og styre.bortset fra rhel og hat kerne, brugere af gentoo, debian, og ubuntu kan også drage fordel af selinux., ud over mennesker, der er interesseret i at sikre deres desktop - eller computeren, selinux er et godt emne for studerende, der studerer operativsystem sikkerhed.det tager lidt tid at vænne sig til, selinux er her for at blive, og hold vagt.,, selinux er et omfattende emne, og idéen om, at denne artikel er at give et overblik over selinux ' s adgangskontrol træk og til at vise sin kontrol.hvis du er interesseret i at dykke dybere ned i selinux, du måske ønsker at henvise til selinux fao og til en af flere skrevet bøger om emnet.

Managing SELinux in Fedora Core 6
The setroubleshoot utility



Previous:
Next Page: