从头开始生成_SELinux.pdfVIP

从头开始生成 SELinux 构建一个 SELinux 就绪的 Gentoo 系统 Serge E. Hallyn (sergeh@), 专职程序员, EMC Serge Hallyn 是 IBM Linux Technology Center 安全团队的一名专职 程序员。他从 College of William and Mary 获得了计算机科学博士学 位。他实现了几个安全模型 (dte 、bsdjail) ，并对其他的安全模型 (seclvl) 和 SELinux 贡献了自己的力量。他实现了 DTE 及相应的配 置文件和分析工具，并在 Type Enforcement （SELinux 中的主要技术） 方面具有丰富的经验。 简介：SELinux 是美国国家安全局对于强制访问控制的实现，是 Linux® 上最杰出的新安全子系统。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包 得到。本文将向您展示如何手工转换一个非 SELinux 的系统，目的 是展示 SELinux 是如何集成到系统中的。 SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制 (MAC) 系统。对于目前可用的 Linux 安全模块来说，SELinux 是功能最全 面，而且测试最充分的，它是在 20 年的 MAC 研究基础上建立的。 SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类 策略，并采用了基于角色的访问控制概念。有关这些主题的更多信息 的链接，请参见本文后面的 参考资料 部分。 大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版，例如 Fedora 、Red Hat Enterprise Linux (RHEL) 、Debian 或 Gentoo 。它们 都是在内核中启用 SELinux 的，并且提供一个可定制的安全策略， 还提供很多用户层的库和工具，它们都可以使用 SELinux 的功能。 如果您与很多用户一样希望让系统与以前一样工作，但是要求安全性 更好一些，那么可以通过使用一些熟悉的应用程序或者通过使用高级 语言编写安全策略来查询和操作 SELinux。然而，在出现问题时 — — 例如内核和用户空间的内容不同步 —— 这些方法就不够了。另 外，这些方法还可能会干扰 UNIX® 工程师理解 SELinux 实际上是 如何工作的。最后，工程师和安全社区应该明白除了目前发行版所使 用的方法之外，还有其他一些方法可以使用 SELinux。 在本文中，我们将学习如何将一个最初根本不能支持 SELinux 的系 统转换成一个强制使用 SELinux 的系统。我们还将学习如何强制采 用一些安全访问策略。 要开始学习本文，您需要： QEMU，一个免费且易于使用的处理器模拟器。这是一种很好的体验 新内核或系统映像的方法，而不会对真实系统造成任何损坏。我们可 以从 QEMU 下载页面 下载 QEMU 。 Gentoo，一个基于源代码的 Linux 发行版。Gentoo 对于本练习来说 非常理想，因为我们可以在一个运行的系统上安装 Gentoo，而不用 管发行版是什么。我们可以在 Gentoo 下载页面 找到最新的版本。 输入下面的命令，创建一个磁盘映像文件： qemu-img create -f raw gentoo.img 2G 下一个步骤是启动 QEMU 来对裸磁盘映像文件进行分区，并格式化 一个分区。这需要某种 Lin