Selinux配置详解(格式改进版).docVIP

Selin?ux配置详?解 1.背景 SELin?ux是「Secur?ity-Enhan?ced Linux?」的简称，是美国国家?安全局「NSA＝The Natio?nal Secur?ity Agenc?y」 和SCC（Secur?e Compu?ting Corpo?ratio?n）开发的 Linux?的一个扩张?强制访问控?制安全模块?。原先是在F?luke上?开发的，2000年?以 GNU GPL 发布。 现在以Li?nux作为?因特网服务?器是越来越?普遍的事了?。在我这几年?作过的项目?里，WEB的开?发基本都是?基于Lin?ux的，这里有给大?公司做的，也给政府部?门做的，当然更多的?是中小企业?做的。这其中给政?府做的，我们把SE?Linux?作为一个卖?点，接受了不少?项目。 2.我们需要安?全操作系统?的理由 现在不论是?政府还是民?间企业，大家对信息?安全问题是?越来越关心?了，因为企业的?业务平台的?服务器上存?储着大量的?商务机密，个人资料，个人资料它?直接关 系到个人的?隐私问题。特别是我们?政府的网站?，作为信息公?开的平台，它的安全就?更显得重要?了。这些连到互?联网的服务?器，不可避免的?要受到来自?世界各地的?各种 威胁。最坏的时候?我们的服务?器被入侵，主页文件被?替换，机密文件被?盗走。除了来自外?部的威胁外?，内部人员的?不法访问，攻击也是不?可忽视的。对于这些攻?击或 者说是威胁?，当然有很多?的办法，有防火墙，入侵检测系?统，打补丁等等?。因为Lin?ux也和其?他的商用U?NIX一样?，不断有各类?的安全漏洞?被发现。我们对付这?些漏洞不得?不花很多的?人力来堵住?它。在这些手段?之中，提高OS系?统自身的牢?固性就显得?非常的重要?。 2.1传统的L?inux OS的不足?之处 虽然Lin?ux 比起 Windo?ws 来说，它的可靠性?，稳定定要好?得多，但是他也是?和其他的U?NIX 一样，有以下这些?不足之处。 １)存在特权用?户root? 　　任何人只要?得到roo?t的权限，对于整个系?统都可以为?所欲为。这一点Wi?ndows?也一样。 ２)对于文件的?访问权的划?分不够细 　　在linu?x系统里，对于文件的?操作，只有「所有者」,「所有组」,「其他」这３类的划?分。 　　对于「其他」这一类里的?用户再细细?的划分的话?就没有办法?了。 ３)SUID程?序的权限升?级 　　如果设置了?SUID权?限的程序有?了漏洞的话?，很容易被攻?击者所利用?。 ４)ＤＡＣ(Discr?etion?ary Acces?s Contr?ol)问题 　　文件目录的?所有者可以?对文件进行?所有的操作?，这给系统整?体的管理带?来不便。 对于以上这?些的不足，防火墙，入侵检测系?统都是无能?为力的。 在这种背景?下，对于访问权?限大幅强化?的OS SELin?ux来说，它的魅力的?无穷的。 2.2 SELin?ux的优点? SELin?ux系统比?起通常的L?inux系?统来，安全性能要?高的多，它通过对于?用户，进程权限的?最小化，即使受到攻?击，进程或者用?户权限被夺?去，也不会对整?个系统造成?重大影响。 接下来我来?介绍SEL?inux的?一些特点。 特点1：MAC(Manda?tory Acces?s Contr?ol)―――对访问的控?制彻底化 对于所有的?文件，目录，端口这类的?资源的访问?，都可以是基?于策略设定?的，这些策略是?由管理员定?制的、一般用户是?没有权限更?改的。 特点2： TE （Type Enfor?cemen?t）――― 对于进程只?付与最小的?权限Te概念在? SELin?ux里非常?的重要。它的特点是?对所有的文?件都赋予一?个叫typ?e的文件类?型标签，对于所有的?进程也赋予?各自的一个?叫 domai?n的 标签。Domai?n标签能够?执行的操作?也是由ac?cess vecto?r在策略里?定好的。 我们熟悉的?apach?e服务器，httpd?进程只能在?httpd?_t 里运行，这个htt?pd_t 的doma?in能执行?的操作，比如能读网?页内容文件?赋予htt?pd_sy?s_con?tent_?t, 密码文件赋?予shad?ow_t, TCP的8?0端口赋予? http_?port_?t等等。如果在ac?cess vecto?r里我们不?允许 http_?t来对ht?tp_po?rt_t进?行操作的花?，Apach?e启动都启?动不了。反过来说，我们只允许?80端口，只允许读取?被标为 httpd?_sys_?conte?nt_t的?文件，httpd?_t就不能?用别的端口?，也不能更改?那些被标为?httpd?_sy