有人测试过 8.04 的“SELinux”安全技术吗？连8.10都有人用了，这个应该也有吧？

jimmin · #1

今天看到 Fedora 9 发布摘要，对其中说的“SELinux”技术很感兴趣。

http://linuxtoy.org/archives/fedora-9-s ... b5%81.html

SELinux : SELinux 现在可以将浏览器插件置于安全限定区域内执行，从而避免了由于不安全的浏览器插件导致的安全问题。Fedora SELinux 开发者 DanielWalsh 在他的 blog post 对此有详细描述。

搜索了一下，这竟然是“美国国家安全局”贡献出来的代码。http://www.ibm.com/developerworks/cn/li ... linux.html

知道是“美国国家安全局”的东西我就更感兴趣了，就想Ubuntu是否支持该技术呢？Google一下，欣喜的发现8.04已经支持SELinux技术，只是默认没有开启。
http://www.linuxidc.com/Linux/2008-03/11899.htm

Ubuntu官方正式宣布，在最新的Ubuntu 8.04发行版中，即Hardy Heron中，将包含SELinux技术，在他们的官方说明中明确写道，很高兴宣布这一结果，这些都要归功于Ubuntu安全项目组和Ubuntu优化项目组，另外我们还有感谢来自Tresys公司的大力支持。

在最新的Ubuntu 8.04版本中，SELinux虽然开始支持，但并不是默认选项。

相比较AppArmour，如果你比较喜欢SELinux，或者说，你想帮助Ubuntu发行版中的SELinux功能实现的更好，你可以通过以下途径帮助我们测试一下,打开Ubuntu的终端,输入以下命令:

sudo aptitude install selinux

在这条命令执行后，将删除你系统中的AppArmour软件，然后安装上SELinux的软件包，并且应用相关的SELinux安全策略。

本论坛有人试用过SELinux吗？看8.10版块那么多小白，应该不会没人用过吧？ ${L_SMILIES_LAUGHING}$

linlee · #2

怎么开启啊？我也挺好奇的～

jimmin · #3

linlee 写了：怎么开启啊？我也挺好奇的～

http://www.linuxidc.com/Linux/2008-03/11899.htm

这个里面有开启方法，不过我没敢试。如果不是专业白鼠最好也别瞎搞，毕竟是高危动作。

PS：8.04支持SELinux，但没开启，不知道8.10会不会默认开启SELinux呢？

windwiny · #4

在启动grub 时，在 kernel 行后加上 selinux=1

在虚拟机上用debian测试过，selinux 开起来时有些动作，比如 mount 加密分区非常慢

dogfox · #5

装吧，装了你就知道什么叫一个烦，一叶可以考虑装一个，普通用户做好iptables和 firestarter 就可以了，实在不行就买搞路由器上网，连SB都知道局域网比外网安全

zigzed · #6

selinux安装了之后，每个文件除了操作系统定义的RWX权限外，还有安全上下文（security context）。而security context对于每个文件有了角色(role), 类型(type)和用户(user)。

例如如果一个文件要能够被apache使用（例如html/php等），则需要正确设置类型为 httpd_sys_content_t或者其他httpd_XXXX。如果apache被人黑掉，上传了一个文件，那么因为该上传的文件的类型不是httpd_xxxx，所以无法远程执行该上传的文件，用浏览器访问该页面的时候返回403错误。

芳芳郁金香 · #7

selinux很早就在了红帽子是fedora好象是版本4的时候就默认安装，之前在fedora2就有安装包可供安装，但是不是默认
ubuntu支持的也很早版本6.10的就可以安装一直不是默认，现在从版本8.04开始可以默认安装

selinux的安全性很强大，但是也很烦。（我觉得就是把原来的权限设定更加细化了）

如果你觉得安全性高于一切可以试试这个东西，
selinux号称即使被人远程得到root密码也也无可奈何

装备了selinux并且合理设定安全规则的机器安全等级可以提升到B1，很诱人