当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 7 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 有人测试过 8.04 的“SELinux”安全技术吗?连8.10都有人用了,这个应该也有吧?
帖子发表于 : 2008-05-14 21:12 

注册: 2006-09-24 4:37
帖子: 2138
送出感谢: 0 次
接收感谢: 1
今天看到 Fedora 9 发布摘要,对其中说的“SELinux”技术很感兴趣。

http://linuxtoy.org/archives/fedora-9-sulphur-%e5%8f%91%e5%b8%83%e6%91%98%e8%a6%81%ef%bc%9a%e5%bc%95%e9%a2%86%e6%bd%ae%e6%b5%81.html
引用:
SELinux : SELinux 现在可以将浏览器插件置于安全限定区域内执行,从而避免了由于不安全的浏览器插件导致的安全问题。Fedora SELinux 开发者 DanielWalsh 在他的 blog post 对此有详细描述。


搜索了一下,这竟然是“美国国家安全局”贡献出来的代码。http://www.ibm.com/developerworks/cn/linux/l-selinux.html

知道是“美国国家安全局”的东西我就更感兴趣了,就想Ubuntu是否支持该技术呢?Google一下,欣喜的发现8.04已经支持SELinux技术,只是默认没有开启。
http://www.linuxidc.com/Linux/2008-03/11899.htm
引用:
Ubuntu官方正式宣布,在最新的Ubuntu 8.04发行版中,即Hardy Heron中,将包含SELinux技术,在他们的官方说明中明确写道,很高兴宣布这一结果,这些都要归功于Ubuntu安全项目组和Ubuntu优化项目组,另外我们还有感谢来自Tresys公司的大力支持。

在最新的Ubuntu 8.04版本中,SELinux虽然开始支持,但并不是默认选项。

相比较AppArmour,如果你比较喜欢SELinux,或者说,你想帮助Ubuntu发行版中的SELinux功能实现的更好,你可以通过以下途径帮助我们测试一下,打开Ubuntu的终端,输入以下命令:

sudo aptitude install selinux

在这条命令执行后,将删除你系统中的AppArmour软件,然后安装上SELinux的软件包,并且应用相关的SELinux安全策略。


本论坛有人试用过SELinux吗?看8.10版块那么多小白,应该不会没人用过吧? :lol:


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-05-14 21:16 
头像

注册: 2007-10-20 11:30
帖子: 1132
送出感谢: 1
接收感谢: 0 次
怎么开启啊?我也挺好奇的~


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-05-14 21:26 

注册: 2006-09-24 4:37
帖子: 2138
送出感谢: 0 次
接收感谢: 1
linlee 写道:
怎么开启啊?我也挺好奇的~


http://www.linuxidc.com/Linux/2008-03/11899.htm

这个里面有开启方法,不过我没敢试。如果不是专业白鼠最好也别瞎搞,毕竟是高危动作。

PS:8.04支持SELinux,但没开启,不知道8.10会不会默认开启SELinux呢?


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-05-15 9:13 
头像

注册: 2007-03-13 17:26
帖子: 2254
送出感谢: 0 次
接收感谢: 1
在启动grub 时,在 kernel 行后加上 selinux=1


在虚拟机上用debian测试过,selinux 开起来时有些动作,比如 mount 加密分区非常慢


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2008-05-15 11:57 
头像

注册: 2006-09-02 14:18
帖子: 5308
地址: 汉桑城
送出感谢: 1
接收感谢: 1
装吧,装了你就知道什么叫一个烦,一叶可以考虑装一个,普通用户做好iptables和 firestarter 就可以了,实在不行就买搞路由器上网,连SB都知道局域网比外网安全


_________________
全世界linux爱好者联合起来 !
一切闭源操作系统都是纸老虎 !
要斗私批修,拒绝黑屏,使用linux !
让一部分人先用起Archlinux来 !
linux是第一生产力 !
讲正气,讲开源,讲free
要坚定不移的走开源的道路 !
linux明天会更好 !

dpkg -l |grep ^rc|awk '{print $2}' |tr ["\n"] [" "]|sudo xargs dpkg -P -
ubuntu粉丝群 26660836 已满员


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2008-05-15 15:52 

注册: 2006-02-27 10:32
帖子: 267
送出感谢: 0 次
接收感谢: 0 次
selinux安装了之后,每个文件除了操作系统定义的RWX权限外,还有安全上下文(security context)。而security context对于每个文件有了角色(role), 类型(type)和用户(user)。

例如如果一个文件要能够被apache使用(例如html/php等),则需要正确设置类型为 httpd_sys_content_t或者其他httpd_XXXX。如果apache被人黑掉,上传了一个文件,那么因为该上传的文件的类型不是httpd_xxxx,所以无法远程执行该上传的文件,用浏览器访问该页面的时候返回403错误。


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2008-05-16 9:06 

注册: 2005-10-06 18:49
帖子: 179
送出感谢: 0 次
接收感谢: 0 次
selinux很早就在了红帽子是fedora好象是版本4的时候就默认安装,之前在fedora2就有安装包可供安装,但是不是默认
ubuntu支持的也很早版本6.10的就可以安装一直不是默认,现在从版本8.04开始可以默认安装

selinux的安全性很强大,但是也很烦。(我觉得就是把原来的权限设定更加细化了)

如果你觉得安全性高于一切可以试试这个东西,
selinux号称即使被人远程得到root密码也也无可奈何

装备了selinux并且合理设定安全规则的机器安全等级可以提升到B1,很诱人


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 7 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译