基础课程 PPT linux课程资源Selinux配置(1).ppt

Network Optimization Expert Team Network Optimization Expert Team 模块3 LINUX网络管理及服务配置 主讲人：芮坤坤 3.8 Linux Selinux 配置 3.8.1 Selinux安全性概念 SELinux是美国国家安全局（NSA）在Linux社区的帮助下开发的，它能够实现灵活的强制访问控制（MAC，Mandatory Access Control）体系结构。SELinux不是一个Linux的发行版，而是集成在Linux内核中的安全子系统，能够提供一个可定制的安全策略（Security Policy）。SELinux还包括一系列的用户工具，使用户能够自定义SELinux策略所定义的规则和功能。 SELinux安全策略由一系列的安全规则组成，规则具体定义了每个进程能够使用哪些端口访问哪些文件、目录等资源。也就是说，启用了SELinux的系统不再只根据DAC所定义的用户和文件的权限来实现访问控制，而且会对每个进程所能做的操作加以颗粒化控制。SELinux对所有的进程、文件、目录和端口的访问，都是基于定制好的策略执行的，策略只能由root管理员修改，普通用户没有权限自定义SELinux策略，这种彻底的访问控制方式称作“强制访问控制（MAC）”。 3.8.1 Selinux安全性概念 3.8.1 Selinux安全性概念 （1）主体 SELinux将进程（Process）称作主体（Subject）。 （2）对象 SELinux将主体所访问的文件、目录、端口等资源称作对象（Object）。 （3）安全上下文 每个进程、文件、目录和端口都有特别的安全标记，称作SELinux安全上下文（Security Context）。因为SELinux需要为每个进程规定它能够访问的文件、目录和端口等资源，而系统中的文件可以无限量增长，所以，一个一个地指定进程能够访问的文件是不可能的。因此，SELinux设计了很多安全标记，每个进程有特定的安全标记，每一个传输层端口也对应特定的安全标记，位于特定目录下的文件，也会有规划好的安全标记。安全标记只是一个名称，能够让SELinux根据策略来决定每个进程是否能够访问特定的文件、目录和端口。 3.8.1 Selinux安全性概念 （4）域 SELinux将进程的类型上下文称作域（Domain）。比如，Apache服务器主进程httpd的类型上下文是“httpd_t”。注意，这里的“域”与域名系统（DNS）中的“域”不是一个概念，进程的域，用工作“领域”来形容更好理解。 （5）对象的类型上下文 SELinux为每一个文件、目录和端口等对象定义了专门的安全上下文，其中最重要的就是类型（Type）上下文。比如，Apache服务器的网站根目录“/var/www/html”目录及其内部所有文件具有类似“httpd_sys_content_t”这样的类型上下文。位于“/tmp”和“/var/tmp”目录内的文件具有“tmp_t”类型上下文。Apache服务器所使用的TCP 80和443端口具有“http_port_t”类型上下文。 3.8.1 Selinux安全性概念 （6）安全策略 安全策略（Security Policy）就是用来确定哪个进程能够访问哪些文件、目录、端口等对象的一系列安全规则。安全策略是一个存储了许多规则的数据库，当前Red Hat Enterprise Linux主要提供了两类安全策略，每类安全策略的侧重点有所不同。 ① targeted：主要用来保护常见的网络服务，这是默认使用的安全策略。 ② strict：用来保护系统所有进程的安全策略。 Red Hat Enterprise Linux默认会安装并启用targeted安全策略。可以为系统安装多个安全策略，但是只能选择使用其中一类安全策略。 * * * * * Network Optimization Expert Team Network Optimization Expert Team * * * * *