Apa itu SELinux

SELinux merujuk kepada Linux yang dipertingkatkan keselamatan dan merupakan subsistem keselamatan Linux Ia direka untuk meningkatkan keselamatan sistem pengendalian Linux tradisional dan menyelesaikan pelbagai kebenaran dalam sistem kawalan akses budi bicara (DAC) dalam sistem tradisional. Masalah sistem Linux (seperti kebenaran root yang berlebihan, dll.). SELinux menggunakan sistem kawalan capaian mandatori (MAC), yang mengawal sama ada proses mempunyai hak akses kepada fail atau direktori pada sistem fail tertentu.

Persekitaran pengendalian tutorial ini: sistem linux7.3, komputer Dell G3.

Apakah itu SELinux

SELinux, singkatan daripada Security Enhanced Linux, iaitu Linux yang dipertingkatkan keselamatan, dibangunkan oleh US National Agensi Keselamatan (NSA) ) ialah subsistem keselamatan Linux yang dibangunkan bersama oleh organisasi keselamatan lain (seperti SCC Corporation) untuk meningkatkan keselamatan sistem pengendalian Linux tradisional dan menyelesaikan pelbagai isu kebenaran dalam sistem Kawalan Akses Budi Bicara (DAC) dalam Linux tradisional sistem (seperti keistimewaan akar terlalu tinggi, dsb.).

Projek SELinux adalah sumber terbuka di bawah lesen GPL pada tahun 2000. SELinux secara beransur-ansur menjadi popular apabila Red Hat memasukkan SELinux dalam pengedaran Linuxnya. Kini, SELinux telah digunakan secara meluas oleh banyak organisasi, dan hampir semua kernel Linux versi 2.6 dan ke atas telah menyepadukan fungsi SELinux.

Pemula boleh memahami SELinux dengan cara ini Ia adalah modul berfungsi yang digunakan pada Linux untuk meningkatkan keselamatan sistem.

Kami tahu bahawa dalam sistem Linux tradisional, kebenaran lalai adalah untuk mengawal kebenaran membaca, menulis dan melaksanakan pemilik, kumpulan dan orang lain bagi fail atau direktori Kaedah kawalan ini dipanggil Discretionary kaedah kawalan akses (DAC); dalam SELinux, sistem kawalan capaian mandatori (MAC) digunakan, yang mengawal sama ada proses mempunyai hak akses kepada fail atau direktori pada sistem fail tertentu, dan menentukan sama ada proses itu boleh mengakses fail Atau asas direktori bergantung pada banyak peraturan dasar yang ditetapkan dalam SELinux.

Bercakap mengenai perkara ini, pembaca perlu memahami ciri-ciri kedua-dua sistem kawalan akses ini secara terperinci:

• Kawalan Akses Budi Bicara (DAC) ialah kaedah kawalan akses lalai Linux, yang menentukan sama ada akses boleh dilakukan berdasarkan identiti pengguna dan kebenaran rwx identiti pada fail dan direktori. Walau bagaimanapun, kami juga mendapati beberapa masalah dalam penggunaan sebenar kawalan akses DAC:

  • kebenaran root terlalu tinggi, dan kebenaran rwx tidak berkuat kuasa ke atas pengguna root Setelah pengguna root dicuri atau pengguna akar itu sendiri Salah operasi adalah ancaman maut kepada sistem Linux.

  • Keizinan lalai Linux terlalu mudah hanya mempunyai identiti pemilik, kumpulan yang mereka miliki dan orang lain hanya mempunyai kebenaran membaca, menulis dan melaksanakan , yang tidak sesuai untuk pembahagian dan penetapan kebenaran.

  • Peruntukan kebenaran yang tidak rasional akan membawa kepada akibat yang serius, seperti menetapkan 777 kebenaran untuk fail atau direktori sensitif dalam sistem, atau menetapkan kebenaran khas untuk fail sensitif - kebenaran SetUID, dsb.

• Kawalan Capaian Mandatori (MAC) mengawal akses proses tertentu kepada sumber fail sistem melalui peraturan dasar lalai SELinux . Dalam erti kata lain, walaupun anda seorang pengguna root, jika anda menggunakan proses yang salah semasa mengakses sumber fail, anda tidak akan dapat mengakses sumber fail.

Dengan cara ini, SELinux mengawal bukan sahaja pengguna dan kebenaran, tetapi juga proses. Sumber fail yang boleh diakses oleh setiap proses, dan proses yang boleh diakses oleh setiap sumber fail, ditentukan oleh dasar peraturan SELinux.

Perhatikan bahawa dalam SELinux, kebenaran lalai Linux masih berkesan, maksudnya, untuk pengguna boleh mengakses fail, kebenaran pengguna diperlukan untuk mematuhi kebenaran rwx. , dan pengguna juga dikehendaki Proses mematuhi peraturan SELinux.

Walau bagaimanapun, terdapat begitu banyak proses dan begitu banyak fail dalam sistem Jika anda menetapkan dan menentukannya secara manual, beban kerja akan menjadi terlalu besar. Oleh itu, SELinux menyediakan banyak peraturan dasar lalai, yang agak lengkap Kami akan mempelajari cara melihat dan mengurus peraturan dasar ini kemudian.

Untuk memberi pemahaman yang jelas kepada pembaca tentang peranan yang dimainkan oleh SELinux, berikut ialah contohnya. Katakan kelemahan ditemui dalam apache, membenarkan pengguna jauh mengakses fail sensitif sistem (seperti /etc. /bayang). Jika SELinux didayakan dalam Linux kami, maka, kerana proses perkhidmatan apache tidak mempunyai kebenaran untuk mengakses /etc/shadow, akses pengguna jauh ke fail /etc/shadow melalui apache akan disekat oleh SELinux, yang melindungi Linux.

Cara menutup Selinux

#查看selinux状态
[root@vm01]# getenforce
 
#临时关闭selinux
[root@vm01]# setenforce 0
 
#永久关闭
[root@vm01]# vi /etc/selinux/config
# SELINUX=enforcing改为SELINUX=disabled

Cadangan berkaitan: "Tutorial Video Linux"

Atas ialah kandungan terperinci Apa itu SELinux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!