21 2使用 SELinux提升内核安全性 22 SELinuX能够干什么 ¤ SELinux的工作模式与工作类型的配置信息记录在配置文件中。 SELinux的配置文件存放的位置是/etc/ selinux/config 查看配置文件内容:#at/etc/ selinux/ config 配置文件:/etc/ sel inux/ config 1.#使用cat命令查看系统 SELinux配置文件信息 2. [root@Project-11-Task-01 -]# cat /etc/selinux/config 3.#以下为 SELinux配置文件信息 4. This file controls the state of SELinux on the system 5. SELINUX= can take one of these three values. 6. enforcing- SELinux security policy is enforced 7. permissive- SELinux prints warnings instead of enforcing 8. disabled- No SELinux policy is loaded cin 10. SELINUX=enforcing 11. SELINUXTYPE= can take one of these three values. 12. targeted- Targeted processes are protected 13. minimum- Modification of targeted policy. Only selected processes are protected 14. #t mls- Multi Level Security protection 15.# SELinux安全策略类型为 targeted 16. SELINUXTYPE=targeted 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 SELinux的工作模式与工作类型的配置信息记录在配置文件中。 ◼ SELinux的配置文件存放的位置是/etc/selinux/config ◼ 查看配置文件内容:#cat /etc/selinux/config 21 2.2 SELinux能够干什么
22 2使用 SELinux提升内核安全性 22 SELinuX能够干什么 查看 SELinux的运行状态 #sestatus ¤查看 SeLinux的工作模式 #getenforce ¤设置 SELin×的工作模式为强制模式 Use the setenforce utility to change between enforcing ■# setenforce1 and permissive mode Changes made with setenforce do not persist across 口设置 SELinux的工作模式为宽容模式rebo。ts #setenforce o 口禁用/启动 SELinux 修改 SELinux的配置文件 #vi /etc/selinux/config 重启操作系统 #reboot 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 查看SELinux的运行状态 ◼ #sestatus 查看SELinux的工作模式 ◼ #getenforce 设置SELinux的工作模式为强制模式 ◼ #setenforce 1 设置SELinux的工作模式为宽容模式 ◼ #setenforce 0 禁用/启动SELinux ◼ 修改SELinux的配置文件 #vi /etc/selinux/config ◼ 重启操作系统 #reboot 22 2.2 SELinux能够干什么 Use the setenforce utility to change between enforcing and permissive mode. Changes made with setenforce do not persist across reboots
23 2使用 SELinux提升内核安全性 22 SeLinuX能够千什么 ¤基于 SELinuX安全策略的操作系统中,用户进程访问囯标文件的过程。 SELinux 工作模式 文件权限 类式 安全上下文 用 不匹配发出警告 根指文件权限作出 最后的决庭 完容式 进 目标文件 对比文件RW《读 程 写执行)权限 1根指型指定不 对比文件和进程 安金策略 的上下文 匹配则继续 工作类型 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 基于SELinux安全策略的操作系统中,用户进程访问目标文件的过程。 23 2.2 SELinux能够干什么
24 2使用 SELinux提升内核安全性 22 SeLinuX能够千什么 Policy and rule:政策与规则 Poio就是规则库,许多的Rue集合在一起就形成了 Policy。 ■按照MAC的定义,最佳方案就是系统上所有的程序都能够受到保护。 ¤操作系统运行的程序非常多,为所有程序撰写 Policy不现实。 Poiy的撰写难度非常高,让使用 Linux操作系统的人都掌握撰写方法不可能。 ¤综合考虑安全性和易用性,只保护重要程序是最佳的选择。 ■RHEL和 CentoS中内置了三种政策。 ¤提高了 SELinux易用性,让 SELinux能够广泛应用。 口保护了关键的业务和程序。 口操作系统使用人员不需要掌握撰写Poio和Rue的专业技能。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 Policy and Rule:政策 与 规则 ◼ Policy就是规则库,许多的Rule集合在一起就形成了Policy。 ◼ 按照MAC的定义,最佳方案就是系统上所有的程序都能够受到保护。 操作系统运行的程序非常多,为所有程序撰写Policy不现实。 Policy的撰写难度非常高,让使用Linux操作系统的人都掌握撰写方法不可能。 综合考虑安全性和易用性,只保护重要程序是最佳的选择。 ◼ RHEL和CentOS中内置了三种政策。 提高了SELinux易用性,让SELinux能够广泛应用。 保护了关键的业务和程序。 操作系统使用人员不需要掌握撰写Policy和Rule的专业技能。 24 2.2 SELinux能够干什么
25 2使用 SELinux提升内核安全性23安全上下文 Security Contex ¤ SELinuX的工作过程主要通过安全规则和安全上下文协同。 安全规则 口定义主体(进程)读取对象(系统中文件、目录、端口等均可)的规则类数据 库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒 绝,并定义了哪种行为是允许或拒绝。 安全上下文( (Security Context) ¤操作系统访问控制是以关联客体和主体的访问控制属性为基础的。 SELinux中,访问控制属性叫做安全上下文 口 SELinUX中,所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体 (进程)都有与其关联的安全上下文。 口 SELinux启用后,系统中所有的资源都会进行标识,就是安全上下文。 SELinux通过安全上下文信息来完成访问控制。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 SELinux的工作过程主要通过安全规则和安全上下文协同。 ◼ 安全规则 定义主体(进程)读取对象(系统中文件、目录、端口等均可)的规则类数据 库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒 绝,并定义了哪种行为是允许或拒绝。 ◼ 安全上下文(Security Context) 操作系统访问控制是以关联客体和主体的访问控制属性为基础的。 SELinux中,访问控制属性叫做安全上下文。 SELinux中,所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体 (进程)都有与其关联的安全上下文。 SELinux启用后,系统中所有的资源都会进行标识,就是安全上下文。 SELinux通过安全上下文信息来完成访问控制。 25 2.3 安全上下文 Security Context