21 2使用 SELinux提升内核安全性 2.2 SELinuX能够干什么 ¤ SELinux的工作模式与工作类型的配置信息记录在配置文件中 ■ SELinux的配置文件存放的位置是/et/ selinux/onfg 查看配置文件内容:#cat/etc/ selinux/ config 配置文件:/etc/ sel inux/ config 1.#使用cat命令查看系统 SELinUX配置文件信息 2. root@Project-11-Task-01 -] cat /etc/selinux/config 3.#以下为 SELinux配置文件信息 4. This file controls the state of SELinux on the system. 5. SELINUX= can take one of these three values. 6. enforcing- SELinux security policy is enforced SELinux prints warnings instead of enforcing disabled- No SELinux policy is loaded. 9.# SELinux运行模式为 enforcing(强制模式) 10. SELINUX=enforcing 11. SELINUXTYPE= can take one of these three values. 12. targeted- Targeted processes are protected. 13. minimum- Modification of targeted policy Only selected processes are protected. iIs-Multi Level Security protection 15.# SELinⅨx安全策略类型为 targeted 16. SELINUXTYPE=targete 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 SELinux的工作模式与工作类型的配置信息记录在配置文件中。 ◼ SELinux的配置文件存放的位置是/etc/selinux/config ◼ 查看配置文件内容:#cat /etc/selinux/config 21 2.2 SELinux能够干什么
22 2使用 SELinux提升内核安全性 2.2 SELinuX能够干什么 口查看 SELinux的运行状态 ■# restates 口查看 SELinuX的工作模式 #getenforce Use the setenforce utility to change between ¤设置 SELinux的工作模式为强制模式 enforcing and permissive mode ■# reenforce1 Changes made with setenforce do not persist across reboots ¤设置 SELin×的工作模式为宽容模式 ■# setenforce0 口禁用/启动 SELin 修改 SELinux的配置文件 #vi /etc/selinux/confi 重启操作系统 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 查看SELinux的运行状态 ◼ #sestatus 查看SELinux的工作模式 ◼ #getenforce 设置SELinux的工作模式为强制模式 ◼ #setenforce 1 设置SELinux的工作模式为宽容模式 ◼ #setenforce 0 禁用/启动SELinux ◼ 修改SELinux的配置文件 #vi /etc/selinux/config ◼ 重启操作系统 #reboot 22 2.2 SELinux能够干什么 Use the setenforce utility to change between enforcing and permissive mode. Changes made with setenforce do not persist across reboots
23 2使用 SELinux提升内核安全性 22 SeLinuX能够干什么 ¤基于Sεin安全策略的操作系统中,用户进程访问囯标文件的过程 SELinux 工作模式 文件权限 安全上下文不匹配发出警吉|根文伴权限作出 最后的决定 对比文件Rw《读 L目标文件 写执行)权限 1根据会指定不同 对比文件和进程 匹配则继综 工作类型 不匹配则通出 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 基于SELinux安全策略的操作系统中,用户进程访问目标文件的过程。 23 2.2 SELinux能够干什么
24 2使用 SELinux提升内核安全性 2.2 SELinuX能够干什么 Policy and rule:政策与规则 ■Poio就是规则库,许多的Rue集合在一起就形成了 Policy ■按照MAC的定义,最佳方案就是系统上所有的程序都能够受到保护 口操作系统运行的程序非常多,为所有程序撰写Poic不现实。 Policy的撰写难度非常高,让使用Liu×操作系统的人都掌握撰写方法不可能。 ¤综合考虑安全性和易用性,只保护重要程序是最佳的选择。 ■RHEL和 Centos中内置了三种政策。 口提高了 SELinⅨx易用性,让 SELinux能够广泛应用。 口保护了关键的业务和程序。 ¤操作系统使用人员不需要掌握撰写 Policy和Rue的专业技能。 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 Policy and Rule:政策 与 规则 ◼ Policy就是规则库,许多的Rule集合在一起就形成了Policy。 ◼ 按照MAC的定义,最佳方案就是系统上所有的程序都能够受到保护。 操作系统运行的程序非常多,为所有程序撰写Policy不现实。 Policy的撰写难度非常高,让使用Linux操作系统的人都掌握撰写方法不可能。 综合考虑安全性和易用性,只保护重要程序是最佳的选择。 ◼ RHEL和CentOS中内置了三种政策。 提高了SELinux易用性,让SELinux能够广泛应用。 保护了关键的业务和程序。 操作系统使用人员不需要掌握撰写Policy和Rule的专业技能。 24 2.2 SELinux能够干什么
25 2使用 SELinux提升内核安全性 23安全上下文 Security Context 口 SELinux的工作过程主要通过安全规则和安全上下文协同。 ■安全规则 ¤定义主体(进程)读取对象(系统中文件、目录、端口等均可)的规则类数据库,规则中 记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝,并定义了哪种行为 是允许或拒绝。 安全上下文( Security Context ¤操作系统访问控制是以关联客体和主体的访问控制属性为基础的。 SELinux中,访问控制属性叫做安全上下文。 口 SELinux中,所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程) 都有与其关联的安全上下文 口 SELinux启用后,系统中所有的资源都会进行标识,就是安全上下文。 口 SELinux通过安全上下文信息来完成访问控制 河南中医药大学/阮晓龙713938213680/http://inux.xg.hactcm.edu.cn/http://www.5lxueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2.使用SELinux提升内核安全性 SELinux的工作过程主要通过安全规则和安全上下文协同。 ◼ 安全规则 定义主体(进程)读取对象(系统中文件、目录、端口等均可)的规则类数据库,规则中 记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝,并定义了哪种行为 是允许或拒绝。 ◼ 安全上下文(Security Context) 操作系统访问控制是以关联客体和主体的访问控制属性为基础的。 SELinux中,访问控制属性叫做安全上下文。 SELinux中,所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程) 都有与其关联的安全上下文。 SELinux启用后,系统中所有的资源都会进行标识,就是安全上下文。 SELinux通过安全上下文信息来完成访问控制。 25 2.3 安全上下文 Security Context