Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >Wofür wird SELinux verwendet?
Die Hauptfunktion von SELinux besteht darin, die für den Dienstprozess im System zugänglichen Ressourcen zu minimieren (Prinzip der geringsten Rechte) und die Aktivitäten bösartiger Codes im Linux-System so weit wie möglich einzuschränken. SELinux ist ein Funktionsmodul zur Sicherheitsverbesserung, das in Linux-Systemen eingesetzt wird. Es bietet verbesserte Sicherheit für Linux-Systeme durch die Verwendung von MAC (mandatorische Zugriffskontrolle) für Prozess- und Dateiressourcen.
Die Betriebsumgebung dieses Tutorials: Linux7.3-System, Dell G3-Computer.
Was ist SELinux?
Security-Enhanced Linux (Security-Enhanced Linux) wird als SELinux bezeichnet. Es handelt sich um ein Linux-Kernelmodul und ein Sicherheitssubsystem von Linux.
SELinux wird hauptsächlich von der US-amerikanischen National Security Agency entwickelt. Linux-Kernel der Versionen 2.6 und höher verfügen über integrierte SELinux-Module.
Die Struktur und Konfiguration von SELinux ist sehr komplex und es gibt viele konzeptionelle Dinge, die das Erlernen erschweren. Viele Linux-Systemadministratoren schalten SELinux aus, weil sie es als problematisch empfinden.
Was nützt SELinux?
Die Hauptfunktion von SELinux besteht darin, die für den Serviceprozess im System zugänglichen Ressourcen zu minimieren (Prinzip der geringsten Rechte).
Wir wissen, dass die traditionelle Linux-Systemsicherheit DAC (diskretionäre Zugriffskontrolle) verwendet, während SELinux ein Sicherheitsverbesserungsmodul ist, das in Linux-Systemen eingesetzt wird. Es verwendet MAC (mandatorische Zugriffskontrolle) für verbesserte Sicherheit für Linux-Systeme .
Es ist zu beachten, dass der MAC von SELinux den DAC nicht vollständig ersetzen wird. Im Gegenteil, es handelt sich um eine zusätzliche Sicherheitsebene für die Sicherheit des Linux-Systems. Mit anderen Worten: Bei der Verwendung von SELinux wird der DAC weiterhin verwendet Zuerst wird die SELinux-Richtlinie verwendet, wenn der Zugriff erlaubt ist. Andernfalls besteht keine Notwendigkeit, die SELinux-Richtlinie überhaupt zu verwenden, wenn die DAC-Regel den Zugriff verweigert.
Wenn ein Benutzer beispielsweise versucht, eine Operation an einer Datei ohne Ausführungsberechtigung (rw-) auszuführen, verweigern herkömmliche DAC-Regeln dem Benutzer den Zugriff, sodass keine Notwendigkeit besteht, SELinux-Richtlinien zu verwenden.
Im Vergleich zur herkömmlichen Linux-DAC-Sicherheitskontrollmethode bietet SELinux viele Vorteile, wie zum Beispiel:
Es verwendet die MAC-Kontrollmethode, die als die stärkste Zugriffskontrollmethode gilt;
Es gibt Betreff (Benutzer oder Prozess) mit den geringsten Zugriffsrechten, was bedeutet, dass jedem Subjekt nur ein begrenzter Satz an Berechtigungen erteilt wird, die zum Abschließen der entsprechenden Aufgabe erforderlich sind. Durch die Gewährung minimaler Zugriffsrechte können Sie verhindern, dass Subjekte andere Benutzer oder Prozesse beeinträchtigen.
Während des SELinux-Verwaltungsprozesses verfügt jeder Prozess über seinen eigenen Laufbereich (eine sogenannte Domäne) und jeder Prozess wird nur in seinem eigenen Inneren ausgeführt Auf die Domäne, andere Prozesse und Dateien kann nicht zugegriffen werden, sofern keine besonderen Berechtigungen erteilt werden.
SELinux kann auf den Permissive-Modus eingestellt werden, der die Anzeige der nach der Ausführung von SELinux auf dem System erzeugten Eindrücke ermöglicht. Im Permissive-Modus protokolliert SELinux weiterhin die seiner Meinung nach Sicherheitslücken, verhindert diese jedoch nicht.
Der direkteste Weg, die Vorteile von SELinux zu verstehen, besteht darin, zu sehen, was passiert, wenn SELinux nicht auf dem Linux-System ausgeführt wird.
Zum Beispiel lauscht der Webserver-Daemon (httd), was an einem bestimmten Port passiert, und dann kommt eine einfache Anfrage von einem Webbrowser, um die Homepage anzuzeigen. Da er nicht durch SELinux eingeschränkt wird, kann der httpd-Daemon die folgenden Dinge ausführen, nachdem er die Anfrage gehört hat:
Gemäß den rwx-Berechtigungen des jeweiligen Eigentümers und der entsprechenden Gruppe kann auf jede Datei oder jedes Verzeichnis zugegriffen werden;
Vollständige Existenz Aktivitäten mit Sicherheitsrisiken, wie z. B. das Zulassen von Datei-Uploads oder das Ändern der Systemanzeige;
kann auf eingehende Anfragen auf jedem Port warten.
Aber auf einem SELinux-gebundenen System wird der httpd-Daemon strenger kontrolliert. Wenn wir weiterhin das obige Beispiel verwenden, kann httped nur Ports abhören, auf denen SELinux das Abhören zulässt. SELinux verhindert außerdem, dass httpd ohne einen ordnungsgemäß festgelegten Sicherheitskontext auf Dateien zugreift, und verweigert unsichere Aktivitäten, die in SELinux nicht explizit aktiviert sind.
Im Wesentlichen schränkt SELinux also die Aktivität bösartigen Codes in Linux-Systemen maximal ein.
Verwandte Empfehlungen: „Linux-Video-Tutorial“
Das obige ist der detaillierte Inhalt vonWofür wird SELinux verwendet?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!