01/10/05。 cathayan.org版权所有,保留一切权利。转载请保留此说明。谢绝商业转载。
SELinux,即安全增强Linux,是
美/国\安/全\局发展的一套Linux,改变了安全机制,以便使它
更安全。主要地,它改变了用户权限,比如没有root这种用户,每种用户都只能看到和自己相关的东西;没有777这种文件权限,每种权限都必须准确;一个程序被突破时,只有它自己受影响,黑客仍然得不到系统级权限。用户的rhost文件甚至可设成连自己都不能写。看上去,应该能增强不少安全性。
这个增强实际上要涉及内核,所以如果要在现有的Linux上安装时,就必须给内核打补丁,再编译出来,而许多模块因为与此相关,也需要重新编译。更有些应用程序可能会因为这些改变而不能正常工作。它的工作方式是在Linux的验证之后介入,如果Linux认为可以运行,SELinux就再验证一下。
但这项工作已经得到Linux内核的认可,据称是在2.6系列中已经引入了对它的支持,也就是不必再编内核?只需安装其他一些配套软件即可。现在起码Debian有,Fedora core3已经自带安装,因此看到有位装了之后网页运行不正常,有些文件不能读出,而出现403错误。但感觉这个很不错,如果要搞很严肃的服务器的话,大可一试。
01/10/05 12:40:39,由
cathayan发表。目录:
电脑
2条评论
著名出版商O'Reily已经出了SELinux的书。我自己也在用
Hardened Gentoo来搭建SELinux。SELinux主要依靠“策略”文件(Policy)来实现权限的管理。策略文件的复杂度很高(这也是其他RBSAC(基于角色的安全架构)软件所批评之处)。现在,在Gentoo上,除了针对Linux Kernel的base policy,其他主流网络服务软件的policy较为齐全了。这就包括了Apache, ftpd, Asterisk, bind, dhcp, ntp, nfs, mysql, postgresql, snmp, courier-imap, samba, postfix, qmail, squid的policy。使用起来很方便,没有过多的再配置的问题。也可先用被动形式(permissive)跑起来,作评估之后再开启主动形式。桌面软件的policy文件,也会渐渐增多起来(但速度不会太快)。希望能够对用户来说更加透明化。
http://leafyoung@yahoo.com 枝间 于 01/10/05 16:01:55 发表.
I am watching and will delete all spam.