分页: 1 / 1

有人测试过 8.04 的“SELinux”安全技术吗?连8.10都有人用了,这个应该也有吧?

发表于 : 2008-05-14 21:12
jimmin
今天看到 Fedora 9 发布摘要,对其中说的“SELinux”技术很感兴趣。

http://linuxtoy.org/archives/fedora-9-s ... b5%81.html
SELinux : SELinux 现在可以将浏览器插件置于安全限定区域内执行,从而避免了由于不安全的浏览器插件导致的安全问题。Fedora SELinux 开发者 DanielWalsh 在他的 blog post 对此有详细描述。
搜索了一下,这竟然是“美国国家安全局”贡献出来的代码。http://www.ibm.com/developerworks/cn/li ... linux.html

知道是“美国国家安全局”的东西我就更感兴趣了,就想Ubuntu是否支持该技术呢?Google一下,欣喜的发现8.04已经支持SELinux技术,只是默认没有开启。
http://www.linuxidc.com/Linux/2008-03/11899.htm
Ubuntu官方正式宣布,在最新的Ubuntu 8.04发行版中,即Hardy Heron中,将包含SELinux技术,在他们的官方说明中明确写道,很高兴宣布这一结果,这些都要归功于Ubuntu安全项目组和Ubuntu优化项目组,另外我们还有感谢来自Tresys公司的大力支持。

在最新的Ubuntu 8.04版本中,SELinux虽然开始支持,但并不是默认选项。

相比较AppArmour,如果你比较喜欢SELinux,或者说,你想帮助Ubuntu发行版中的SELinux功能实现的更好,你可以通过以下途径帮助我们测试一下,打开Ubuntu的终端,输入以下命令:

sudo aptitude install selinux

在这条命令执行后,将删除你系统中的AppArmour软件,然后安装上SELinux的软件包,并且应用相关的SELinux安全策略。
本论坛有人试用过SELinux吗?看8.10版块那么多小白,应该不会没人用过吧? :lol:

发表于 : 2008-05-14 21:16
linlee
怎么开启啊?我也挺好奇的~

发表于 : 2008-05-14 21:26
jimmin
linlee 写了:怎么开启啊?我也挺好奇的~
http://www.linuxidc.com/Linux/2008-03/11899.htm

这个里面有开启方法,不过我没敢试。如果不是专业白鼠最好也别瞎搞,毕竟是高危动作。

PS:8.04支持SELinux,但没开启,不知道8.10会不会默认开启SELinux呢?

发表于 : 2008-05-15 9:13
windwiny
在启动grub 时,在 kernel 行后加上 selinux=1


在虚拟机上用debian测试过,selinux 开起来时有些动作,比如 mount 加密分区非常慢

发表于 : 2008-05-15 11:57
dogfox
装吧,装了你就知道什么叫一个烦,一叶可以考虑装一个,普通用户做好iptables和 firestarter 就可以了,实在不行就买搞路由器上网,连SB都知道局域网比外网安全

发表于 : 2008-05-15 15:52
zigzed
selinux安装了之后,每个文件除了操作系统定义的RWX权限外,还有安全上下文(security context)。而security context对于每个文件有了角色(role), 类型(type)和用户(user)。

例如如果一个文件要能够被apache使用(例如html/php等),则需要正确设置类型为 httpd_sys_content_t或者其他httpd_XXXX。如果apache被人黑掉,上传了一个文件,那么因为该上传的文件的类型不是httpd_xxxx,所以无法远程执行该上传的文件,用浏览器访问该页面的时候返回403错误。

发表于 : 2008-05-16 9:06
芳芳郁金香
selinux很早就在了红帽子是fedora好象是版本4的时候就默认安装,之前在fedora2就有安装包可供安装,但是不是默认
ubuntu支持的也很早版本6.10的就可以安装一直不是默认,现在从版本8.04开始可以默认安装

selinux的安全性很强大,但是也很烦。(我觉得就是把原来的权限设定更加细化了)

如果你觉得安全性高于一切可以试试这个东西,
selinux号称即使被人远程得到root密码也也无可奈何

装备了selinux并且合理设定安全规则的机器安全等级可以提升到B1,很诱人