, die ik altijd al wilde doen is met de beveiliging om de weg te vinden om samen te werken en je beveiliging, maar elke keer als ik het, ik gebruik te ingewikkeld wordt.杰姆斯莫里斯 en Paul Moore had een instrument dat secmark vroeg in de Enterprise Linux (RHEL) 5 kader.Ik secmark is eenvoudig te bereiken met je regels voor de definitie van etikettering voor hun beveiliging pakket - binnen het systeem, secmark., van multi - level is voor de veiligheid van het milieu in (mls), maar aanzienlijk meer genegeerd, gericht beleid.In de etikettering van verpakkingen mls, veiligheid en meer belangrijke soorten etiketten.Dat betekent dat je kan voorkomen dat een proces loopt; EUR; en oelig; de totale Testâ EUR; een; EUR; en oelig; geheime Testâ EUR;.,, noot: dit artikel is op het netwerk, niet gemerkt.(etiket door via het netwerk van data tussen machines), en een systematische, we meestal niet de mate van gebruik, dus ik wil gebruik maken van wetshandhaving, in de zin van de controle kunnen sturen die op basis van het proces en een pakje.Secmark kun je schrijven in de haven van pakketten regels, op het etiket van 80 kun je schrijven een artikel, een proces dat zend /ontvang pakje merken httpd_packet_t httpd_t merken. Maar voor de firefox, inktvis, enz.?Ik vrees de etikettering van pakketten is een explosie van het pakket zal leiden tot zeer ingewikkelde beleid.Om deze extreme kun je eindelijk de groepering vormen voor elk type, httpd_packet_t, bind_packet_t, dns_packet_t...Of erger nog, een combinatie van elke port_types en netwerken.Httpd_internet_packet_t en httpd_intranet_packet_t, of httpd_eth0_packet_t en httpd_eth1_packet_t.,, zie je dit snel zal komen.De verdeling van de geschreven beleid niet mogelijk is, de aard van de verpakking unlabeled_t.,, op dit moment, bij verstek, we hebben geen gegevens van de verpakking een etiket beleid, dus de kern van deze verpakking etiketten unlabeled_t. Omdat dit een beveiliging systeem op het gebied van het gebruik van het netwerk, er zijn regels,,, laat unlabed_t MyDomain: het pakket dat recv {};, dit betekent dat, als je met secmark etikettering op de verpakking, en je firewall, de kern zal beginnen. Alle data van unlabeled_t. Elk netwerk zou de toegang tot het gebied ineens meer.Dit betekent dat neem je firewall of het herinvoeren van je firewall, je zou dat niet alleen de haven aanvallen van buiten, je verlaagt je veiligheid te beschermen, kunnen beperkt gebied te sturen die uit het niet vertrouwen van het pakket, unlabeled_t regels verwijderd.,, in de nieuwe versie van de hoed ik toegevoegd een module is toegestaan met alle regels unlabeled_t MyDomain unlabelednet: het pakket het verzenden en ontvangen van} {.Als je het uitschakelen van het strategie - pakket, met alle beperkingen gebied zal los kunnen sturen en /unlabeled_t pakje ontvangen.Ik zal het terug, dat rhel6 transplantatie.Dat betekent dat je kunt stoppen met het gebruik van het netwerk een beperkt gebied, tenzij je schrijft een etikettering op de verpakking van de regels voor het gebruik van de situatie, zoals ik hierboven vermeld, elke keer als ik naar dit probleem, dat ik aan het einde van de explosie van de soorten.Ik kwam een paar met behulp van de omstandigheden, kan ik schrijven een paar simpele regels en het beleid, om ervoor te zorgen dat mijn laptop.Ik wil schrijven het beleid, om te voorkomen dat de beperkingen in alle gebieden, van start (regio) en externe netwerken te praten, en dat alle gebieden van de log - proces (aan het begin van mijn gebruiker domein) van de interne en externe netwerken te praten.Hier is mijn idee niet willen avahi SSSD, of, of sshd of een ander proces begonnen naar of uit het netwerk van data is niet te vertrouwen.Ik wil ik beginnen met wat processen, zoals de firefox of ik kan met de netwerken van de VPN.Als ik de VPN - is gesloten op het gebied van de netto systeem is, en ik kan nog steeds het surfen op het web en e - mail.,, het voordeel van dit voorbeeld is dat je kan gebruiken voor het opzetten van een Apache, alleen met interne en externe netwerken pakje zou weigeren, ik besluit mijn netwerk te creëren. De drie soorten.Ik zal de beveiliging in de interpretatie van de strategie achter.,,, - internal_packet_t, je zal zijn: etikettering van oorsprong of bestemd is voor het pakket interne netwerk internal_packet_t;,,, - dns_external_packet_t, etikettering van pakketten naar zal zijn: de combinatie van UDP - /TCP /53 dns_external_packet_t externe netwerken. Ik bij dit Omdat ik wil dat dontaudit van bepaalde soorten de beperking en de DNS server mijn privé - van buiten het netwerk.,,, - external_packet_t,: de machine niet onder de eerste definitie alle data van de standaard label.,,, ik het je niet secmarkgen, de expert.Je noemde me een groentje.Dus ik vroeg Eric Parijs schreef een voorbeeld, schrijf je je regels voor het aanvragen van een etiket, een pakje.Ik heb haar eigen regels en de productie van de assistent zei secmarkgen Shell script, je kan mijn secmarkgen scripts die je maakt zijn eigen regels of.,, rennen, secmarkgen · H, zal je gebruik:,,, gebruik: gebruik: secmarkgen. /ik /secmarkgen namen gebruikt. /secmarkgen t iptablescmd P - protocol: havens [...] - netwerk [...] - T - m - selinux_type benaming: F. /secmarkgen de naam,,,,, je moet de regels te zullen schrijven secmark etiket.,,,,,, dan secmarkgen - ik, je moet je naam netwerk.(je ketting),,,,,, secmarkgen - interne, nu kan je nog een of meer van de voorschriften, het heet netwerk.,,,, secmarkgen n 255.255.255.255127 /8 10.0.0.0/8172.16.0.0/16224/24192.168/16 interne,,, en nu wil je door het netwerk van de toewijzing van een pakket vormen de etikettering, de voltooiing van de regels secmarkgen secmark.,,, F. T - internal_packet_t interne,,, hier en' van de scenario 's die de volgende regels:,,, je ################################################################### #. /secmarkgen - ik ################################################################### poort - f - T - T - veiligheid - veiligheid - input, in verband met de oprichting van connsecmark - m, herstel je een t - veiligheid ou JIn verband met de oprichting van de m staat, J connsecmark - het herstel van ################################################################### #. /secmarkgen - interne ################################################################### poort - veiligheid - X - binnen 2 > /dev/null poort - veiligheid - de interne ################################################################### #. /secmarkgen n 255.255.255.255127 /8 10.0.0.0/8172.16.0.0/16224/24192.168/16 interne ################################################################### je - van de produktie - T - veiligheid - D 255.255.255.255127 /8 10.0.0.0/8172.16.0.0/16224/24192.168/16 J - je - - interne de veiligheid van de 255.255.255.255127 /8,10.0.0.0 /8,17De interne ###################################################################.16.0.0/16224/24192.168/16 J. /secmarkgen - f - T - internal_packet_t interne ################################################################### poort - veiligheid - de interne - J - je secmark selctx system_u:object_r:internal_packet_t:S0 - veiligheid - de interne - J - je - behoud van connsecmark t - veiligheid - de interne - aanvaard,,, ik laat het je zien en begrijpen van de lezers van de regels.Ik hou van ontsnappen, toen ik op school secmark_test script.),,,, en dit is mijn hele secmark script (, secmark_test. Sh,) Ik door gebruik te maken van de regels, mijn netto:,,,, secmarkgen ik. /secmarkgen - interne. /secmarkgen - n 255.255.255.255127 /8 10.0.0.0/8172.16.0.0/16224/24192.168/16 interne. /secmarkgen - f - T - internal_packet_t interne. /secmarkgen DNS. /secmarkgen P P 53 UDP - DNS. /secmarkgen TCP - P - P - 53 DNS. /secmarkgen - f - T - dns_external_packet_t DNS. /secmarkgen -. /secmarkgen. /secmarkgen - f - T - T - ip6tables /secmarkgen external_packet_t buiten. Ik secmarkgen. /T - ip6tables - interne. /secmarkgen t ip6tables n fec0:::: /10, 1 /128, FF:: /8, fe80:::: //10, fc00 7 interne. /secmarkgen - T - T - internal_packet_t ip6tables interne. /secmarkgen t ip6tables -. /secmarkgen t ip6tables. /secmarkgen t - T - T - external_packet_t ip6tables -,,, en nu heb ik je, die regels:,, #. /secmark_test.sh > /trimethoprim /regels, een probleem is dat ik niet kan, installatie van een bepaald.Omdat ik niet van de definitie van de beveiliging * * * * * * * _packet_t strategie geschreven regels pakket vormen, je niet zal worden geïnstalleerd.Als je de installatie van deze regels, zie je een dmesg kern niet weet dat internal_packet_t vormen van produktie, wat is de beveiliging. En strategieën, hier is wat ik gebruik, bekend als secmark.te beleid:,,,, policy_module (secmark, 1) gen_require (% quot% eigendom; sysadm_usertype&#domein eigenschap van een werknemer; de gebruiker kan de overgang naar de staff_usertype eigenschap; eigenschap telepathy_domain; - ping_t; - vpnc_t; - ssh_t; - nsplugin_t; - mozilla_plugin_t; op het gebied van&#systeem, wil met externe netwerken - ntpd_t; - sssd_t; en')&#type omschreven kenmerken external_packet; - internal_packet_t corenet_packet (internal_packet_t - DNS);_external_packet_t, external_packet; corenet_packet (dns_external_packet_t) - external_packet_t, external_packet; corenet_packet (external_packet_t)&#toegestaan gebied mogelijk te maken: het pakket regels internal_packet_t {zenden}; laten sysadm_usertype external_packet: verpakking {zenden}; laten staff_usertype external_packet: verpakking {zenden}; laten vpnc_t external_packet pakket ontvangen: {}; laten ssh_t external_packet: pakje ontvangen mozilla_plugin_t {}; laten external_packet: verpakking {zenden}; laten nsplugin_t external_packet: verpakking {zenden}; laten telepathy_domain external_packet: verpakking {zenden}; laten ping_t external_packet: verpakking {zenden}; laten ntpd_t external_packet: verpakking {recvStuur}; dontaudit sssd_t dns_external_packet_t pakket ontvangen: {};,,, laten we eens kijken naar het beleid nauw.In de eerste plaats':,,, policy_module (secmark, 1),,,, dat is de definitie van strategieën.De volgende stap is, vragen wij de:,,,, gen_require (% quot% eigendom; eigenschap sysadm_usertype;&#domein werknemers gebruikers kan de overgang naar de staff_usertype eigenschap; eigenschap telepathy_domain; - ping_t; - vpnc_t; - ssh_t; - nsplugin_t; - het gebied mozilla_plugin_t;&#systeem, wil met externe netwerken - ntpd_t; type sssd_t; en'),,, als je schrijft de beveiliging in de strategie te gebruiken moet je de regels van alle soorten /eigenschap referentie.Je kan een nieuwe definitie van de soorten of in dit geval, de toevoeging van een gen_requires blok.Zeg de beveiliging van de gen_requires blok niet installatie van dit beleid, als één van deze eigenschap of aard niet elders gedefinieerde strategie.,, een paar attributen zien in de beveiliging, gebied, is de aard van alle processen.Staff_usertype is voor alle werknemers van de specifieke eigenschappen van de gebruikers.Ook wordt het specifieke sysadm_usertype sysadm gebruikers een eigenschap, als je nog andere soorten gebruikers van xguest of gebruikers, je moet in het beleid nog soortgelijke regels.Is de telepathy_domain alle telepathie van de toepassing van de in dit deel, en ik denk dat ik het systeem voor de identificatie van de nieuwe vormen van het netwerk van data.Mijn definitie van een eigenschap external_packet, dus ik kan uitbesteding van een samenhangende reeks voorschriften.Ik corenet_packet interface met de beveiliging van deze soorten, vast te stellen, met het pakket.,,, eigendom external_packet; - internal_packet_t; corenet_packet (internal_packet_t) - dns_external_packet_t, external_packet; corenet_packet (dns_external_packet_t) - external_packet_t, external_packet; corenet_packet (external_packet_t),,, laten we nu regels mogen zien in:,,, gebied mogelijk te maken, internal_packet_t: verpakking {het verzenden en ontvangen van deze regel};,,, om alle processen in het systeem het verzenden en ontvangen van alle binnen de afdeling, de volgende regels pakket., zodat alle werknemers (de meeste) en sysadm gebied, door de werknemers of sysadm gebruikers rechtstreeks het verzenden en ontvangen van de procedures, de tas.Ik gebruik de aandacht van de eigenschappen die niet rechtstreeks external_packet type.Dit is voor de werknemers en de toegang tot het gebied external_packet_t dns_external_packet_t.,,, laat sysadm_usertype external_packet: verpakking {zenden}; laten staff_usertype external_packet: verpakking {zenden}; laten vpnc_t external_packet: verpakking {zenden}; laten ssh_t external_packet: verpakking {zenden}; laten mozilla_plugin_t external_packet: verpakking {recv sturen); laat nsplugin_t external_packet: verpakking {zenden}; laten telepathy_domain external_packet: verpakking {zenden}; laten ping_t external_packet: verpakking {zenden};,,, de volgende regels kunnen verzenden en ontvangen ntpd_t domein van externe data, omdat ntpd besprekingen op de server van de openbare netwerken.Mijn definitie van een ntp_external_packet_t, voeg je regels om ervoor te zorgen dat het veiliger is, maar ik heb besloten niet, omdat ik niet wil dat een soort explosie.,,, laat ntpd_t external_packet pakket ontvangen: {};,,,, dontaudit sssd_t dns_external_packet_t: verpakking {het verzenden en ontvangen van de SSSD};,,, programma 's kijk in al mijn boeken, /etc/resolv.conf, en te controleren of het kan gebruiken.Als ik met een VPN - in mijn netwerk, en ik eindigde DNS opname van de externe en interne netwerk van documenten in /etc/resolv.conf.,, want ik wil niet praten over andere SSSD dan in m 'n privé netwerk van elk systeem, en ik denk dat de toegang tot de opstelling van dontaudit.,,, de installatie en de werking van de #, nu al 39 in de tijd samen.In de eerste plaats ik het opstellen van mijn beleid:,,,&#f USR /delen /veiligheid /development /eigen,,, en ik Installeer ik beleid:,,,&#semodule - ik secmark. PP,,, en nu kan ik in mijn systeem installeren regels:,,,,,&#- /trimethoprim /regels, wil ik je vertellen, en ip6tables herinneren de volgende boot.,,,&#behoud je je diensten firewall regels: besparingen /ETC /sysconfig /iptables:[]&#diensten bepalen: het redden van de regels van de firewall van ip6tables redden ip6tables /ETC /sysconfig /ip6table [is], en op Dit punt. M 'n machine op elk pakje moeten er drie labels, en ik kan nu naar het nieuws over de etikettering van de Europese een pakje.Als ik zie dat ik kan beslissen of ik laat /dontaudit deze AVC nieuws te vinden, of als er iets heel erg fout in mijn systeem.