導讀:SELinux(Security-Enhanced Linux) 是美國國家安全域性(NSA)對於強制訪問控制的實現,是 Linux® 上最傑出的新安全子系統。NSA是在Linux社群的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下,程序只能訪問那些在他的任務中所需要檔案。SELinux 預設安裝在 Fedora 和 Red Hat Enterprise Linux 上,也可以作為其他發行版上容易安裝的包得到。
概述
SELinux 是 2.6 版本的 Linux 核心中提供的強制訪問控制 (MAC)系統。對於目前可用的 Linux 安全模組來說,SELinux 是功能最全面,而且測試最充分的,它是在 20 年的 MAC 研究基礎上建立的。SELinux 在型別強制伺服器中合併了多級安全性或一種可選的多類策略,並採用了基於角色的訪問控制概念。
大部分使用 SELinux 的人使用的都是 SELinux 就緒的發行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo。它們都是在核心中啟用 SELinux 的,並且提供一個可定製的安全策略,還提供很多使用者層的庫和工具,它們都可以使用 SELinux 的功能。
SELinux是一種基於 域-型別 模型(domain-type)的強制訪問控制(MAC)安全系統,它由NSA編寫並設計成核心模組包含到核心中,相應的某些安全相關的應用也被打了SELinux的補丁,最後還有一個相應的安全策略。
眾所周知,標準的UNIX安全模型是"任意的訪問控制"DAC。就是說,任何程式對其資源享有完全的控制權。假設某個程式打算把含有潛在重要資訊的檔案扔到/tmp目錄下,那麼在DAC情況下沒人能阻止他!
而MAC情況下的安全策略完全控制著對所有資源的訪問。這是MAC和DAC本質的區別。
SELinux提供了比傳統的UNIX許可權更好的訪問控制。
背景
SELinux是「Security-Enhanced Linux」的簡稱,是美國國家安全域性「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)開發的 Linux的一個擴張強制訪問控制安全模組。原先是在Fluke上開發的,2000年以 GNU GPL 釋出。
現在以Linux作為因特網伺服器是越來越普遍的事了。在我這幾年作過的專案裡,WEB的開發基本都是基於Linux的,這裡有給大公司做的,也給政府部門做的,當然更多的是中小企業做的。這其中給政府做的,我們把SELinux作為一個賣點,接受了不少專案。
我們需要安全作業系統的理由
現在不論是政府還是民間企業,大家對資訊保安問題是越來越關心了,因為企業的業務平臺的伺服器上儲存著大量的商務機密,個人資料,個人資料它直接關係到個人的.隱私問題。特別是我們政府的網站,作為資訊公開的平臺,它的安全就更顯得重要了。這些連到網際網路的伺服器,不可避免的要受到來自世界各地的各種威脅。最壞的時候我們的伺服器被入侵,主頁檔案被替換,機密檔案被盜走。除了來自外部的威脅外,內部人員的不法訪問,攻擊也是不可忽視的。對於這些攻擊或者說是威脅,當然有很多的辦法,有防火牆,入侵檢測系統,打補丁等等。因為Linux也和其他的商用UNIX一樣,不斷有各類的安全漏洞被發現。我們對付這些漏洞不得不花很多的人力來堵住它。在這些手段之中,提高OS系統自身的牢固性就顯得非常的重要。
