30 元
下载资源

02_Linux网络服务-SELinux管理-v10

上传人:xx****x 文档编号:242883234 上传时间:2024-09-10 格式:PPT 页数:33 大小:941.50KB
返回 下载 相关 举报
02_Linux网络服务-SELinux管理-v10_第1页
第1页 / 共33页
02_Linux网络服务-SELinux管理-v10_第2页
第2页 / 共33页
02_Linux网络服务-SELinux管理-v10_第3页
第3页 / 共33页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,RHEL6_SELinux,轻舞飞扬,1,2,1.SELinux概述,SELinux(Security-Enhanced Linux),是美国国家安全局(,NAS,)对于强制访问控制的实现,是,Linux,上最杰出的新安全子系统。,NSA,是在,Linux,社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。,SELinux provides a flexible,Mandatory Access Control,(MAC) system built into the,Linux kernel,. Under standard Linux,Discretionary Access Control,(DAC), an application or process running as a user (UID or SUID) has the users permissions to objects such as files, sockets, and other processes. Running a MAC kernel protects the system from malicious,(有缺陷),or flawed,(恶意),applications that can damage or destroy the system.,3,DAC vs MAC,DAC,主体是用户,访问目标文件由文件本身的权限决定,依进程运行时的用户身份决定其访问权限权限,MAC,主体是进程,访问目标文件由策略决定,4,SELinux的目的,包装比较脆弱的服务,相当于给服务加了一层安全壳,使服务使用起来更加安全。,5,SELinux工作原理,SELinux,增加了一个,并行权限,集全,其中,每个进程通过,SELinux,安全性上下文运行,,,系统上的文件和其他资源也都设置了上下文标签,。与普通权限的不同之处在于可配置的,SELinux,策略控制哪些进程上下文可以访问哪些文件上下文。,6,2.SELinux的配置文件,/etc/sysconfig/selinux,# This the state of SELinux on the system.,# SELINUX= can take one of these three values:,# enforcing - SELinux security policy is enforced.,# permissive - SELinux prints warnings instead of enforcing.,# disabled - No SELinux policy is loaded.,SELINUX=enforcing,# SELINUXTYPE= can take one of these two values:,# targeted - Targeted processes are protected,# mls - Multi Level Security protection.,SELINUXTYPE=targeted,7,3.SELinux的3种模式,Enforcing,强制模式:默认模式,按照,SELinux,的策略来进行验证和管理系统安全。如果发现和,SELinux,的规定不相符合则强制阻止程序的运行或者访问,同时给出提示。,Permissive,允许模式:系统记录所有违反策略的行为并给与一定的提示,同时不中阻止程序的运行。,Disabled,禁用模式:关闭,SELinux,注:禁用的另一种方式:在启动的时候,也可以通过传递参数,selinux,给内核来控制它,kernel /vmlinuz-2.6.32-71.el6.x86_64 ro root=UUID=073f0cf8-201d-4981-bb2c-610c0d95e41f,selinux=0,8,网页无论放置在哪个目录下都可以访问,相关行为不记录在LOG里,9,网页无论放置在哪个目录下都可以访问,相关行为记录在,LOG,里,10,网页指定存放服务本身的根目录下,可以访问,并受,selinux,相关行为记录在,LOG,里,11,SELINUX SELinux,工作状态,可以设置为,enforcing,,,permissive,或,disabled,。,SELINUXTYPE ,指定保护级别。,默认是,targeted,,仅作用于,daemons,。另一个选择是,mls,使用,SELinux,进行全面保护。,SELOCALDEFS ,支持本地,SELinux,策略。,默认设置为,0,(即关闭),12,设置,selinux,的模式,getenforce,:查询当前的,SELinux,模式,setenforce 0 |1,0:,允许模式,1,:强制模式,这将改动,/selinux/enforce,的布尔值,13,The SELinux Pseudo-,14,所有操作系统访问控制都是以关联的客体和主体的的某种类型的访问控制属性为基础的。,在,SELinux,中,访问控制属性叫做安全上下文,。所有客体(文件、进程间通信通道、套接字、网络主机等)和主体,(,进程,),都有与其关联的安全上下文,一个安全上下文由,用户、角色和类型标识符,3,部分组成。,15,Selinux的五种元素,User:role:type:sensitivity:category,User_u:object_r:tmp_t:s0:c0,16,用户(,user,),指登陆到系统的用户类型;根用户登陆,则用户类型就是,root,;其他用户类型是,user_u,,即便是使用,su,命令提高访问权限也还是,user_u,;进程类型是,system_u,。,角色(,role,),定义某个文件、进程、或用户的目的。文件角色是,object_r,;进程角色是,system_r,;用户角色也是,system_r,;,类型(,type,),“强制类型”用来指定文件或者进程中数据的性质。策略中的规则指定那个进程类型可以使用哪个文件类型。,敏感性(,sensitivity,),:,被政府、军事等部门使用的安全级别。,类别(,cagegory,),与组类似,但可以阻止,root,访问的保密数据。,备注:类型为,unconfined_t,得到进程是尚未被,selinux,限制的进程。,17,SELinux,的主要访问控制特性是类型强制,安全上下文中的类型标识符决定了访问权,18,ls Z,查看文件的安全上下文,ps,-Z,查看进程的上下文,id Z,查看用户的上下文,19,chcon :改变某个文件或目录的上下文配置,chcon -R -u user_u -t public_content_rw_t /ftp,默认的文件配置保存在,/etc/selinux/targeted/contexts/,如果你进行了错误的操作,想使某个文件返回原来的,SELinux,配置,可以使用,restorecon,命令根据存储在,的配置进行恢复,Restorecon v R /home/tony,20,chcon reference,对象,1,对象,2,把对象,1,的安全环境类型应用到对象,2,上,ce,chcon reference=/var/ index.html,chcon t tmp_t /path,修改目标对象的安全环境类型。,21,semanage,新建一条规则,指定,/,var/,目录及其下的所有文件的扩展属性为,public_content_rw_t,semanage fcontext -a -t public_content_rw_t /var/.*,验证:,semanage fcontext -l | grep incoming,22,SELinux 布尔值设置,SELinux,策略可以分为不同的类,一些于系统管理有关,一些关于服务,还有一些其他选项。,你做的任何改动都对应这,/selinux/booleans,目录下的布尔变量,配置让,SELinux,开启保护某些程序或关闭对些程序的某个项目的保护,23,selinux策略的控制,策略文件位置,/selinux/booleans,getsebool,控制策略 :查看某个控制策略启用情况,getsebool -a,rootserver # setsebool httpd_enable_cgi 1,rootserver # getsebool httpd_enable_cgi,httpd_enable_cgi - on,setsebool P,控制策略,on|off,-P,表示始终;开启或者关闭某个策略,setsebool -P,24,监视SELinux违反行为,sealert a /var/log/audit /audit.log,查看,selinux,错误日志,semanage boolean -l,查看定义规则,grep avc /var/log/messages,看一些,selinux,相关信息,25,policycoreutils-gui,SElinux,的图形化管理工具,26,27,setroubleshoot:SELinux排错工具,28,29,与SELinux相关工具,sestatus -bv,查询,selinux,状态,semodule l,查看,selinux,加载的内核模块,30,案例1:了解安全环境,将一组文件转到网络服务器上,并要在,SELinux,框架下运行,.,31,案例2:FTP服务器(允许本地用户),32,A,Q,&,Q U E S T I O N S,A N S W E R S,33,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 大学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!