RedHat Enterprise Linux 4新安全机制
所限制。但是没有 SELinux 保护的系统,它就可能因此而入侵整个系统,而产生不可预料的后果。 但是前提是要有好的安全原则,SELinux 最麻烦的就是需要配置一个好的Policy 才可以让 SELinux 发挥效果。制定的太宽松会使 SELinux 毫无用武之地,而太严格又会让使用者连日常工作都变的麻烦至极。NSA让制定安全原则的工作由系统地发行者来做,而像Fedora、Redhat、Novell SUSE 、Debian、Gentoo 等都制定了一套基本的安全原则用于自己的系统。 凭借着SELinux在Linux 上这一个十分重要技术的应用,使其在加强了安全级别,传统的Linux 安全级别一直是 C1 级或 C2 级,和 Windows 服务器的安全级别相同,而 SELinux 把 Linux 的安全级别提升至 B1 级,达到了基本的军事级别。 在RHEL4中,SELinux 与一系列因特网服务加以整合,包括 BIND、Network Time Protocol (NTP)、Apache等,使得其优点能够更轻易地拓展。其要求极度安全环境的组织,可以于更多的应用程序上实作更广泛的SELinux 功能,甚至为 每一服务制定严格的SELinux 原则。。比如,传统的Linux 系统若遭黑客侵入Web Server,可能导致整个系统的瘫痪;但有了SELinux 的保护,我们可以很容易的建立一个只能在特定程序及特定的安全系络中才能执行的 Web 服务器,尽管Web Server被入侵,那么他也只能破坏这个Web Server,无法影响到其它的系统区域,把受害范围减至最少。 六.SELinux在RHEL4上的安装 下面对SELinux在RHEL 4上的安装过程中加以介绍。在安装过程中,会出现如图3 的画面,询问是否启用SELinux,默认安装选项「Active」。  图2 安装时SELinux 的选项 这3个选项的不同之处在于: □ 已禁用:停用SELinux 功能 □ 警告:仅显示警告讯息 □ 活跃(默认值):启动SELinux 功能 系统是否启用SELinux 的设定,记录在/etc/selinux/config文件中(/etc/sysconfig/selinux为此文件的链接),安装完成后,可检查其中的内容,便可得知系统SELinux现在的状态。文件内容如下: # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=enforcing # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=targeted SELINUX 参数值:有「enforcing、permissive、disabled」分别对应安装时的 选项「活跃、警告、已禁用」。 SELINUXTYPE 参数值:有「targeted、strict」两种 SELINUXTYPE=targeted:保护网络相关服务。 SELINUXTYPE=strict:完整的保护功能,包含网络服务、一般指令及应用程序 注:RHEL 4 目前尚未支持strict policy,只提供targeted policy,如果您强行的把SELINUXTYPE=targeted改为strict,系统启动时把会出现以下的提示而无法启动。  图3 强行修改机制导致无法启动 在/etc/selinux/targeted文件夹中定义的就是targeted属性,它是RHEL 4 巳定义好的policy,这个targeted policy 的用途可为保护下列的网络服务: dhcpd httpd mysqld
更多相关文章
|
推荐文章
精彩文章
|
