首页 > 代码库 > day3-selinux

day3-selinux

SElinux强制安全

加密与解密技术

CA数字证书服务

?

标准Lunux安全模型

DAC自主访问控制????Discretionary Access Control????所有都对自己的资源负责

典型的DAC应用

9位权限码

ACL

?

SElinux????Security-Enhanced Linux

一套强化Linux安全的MAC扩展模块

美国国家安全局主导开发

SELinux的动作机制

集成Linux的动作机制

集成到Linux内核——2.6及以上

操作系统提供可定制的策略、管理工具

?

策略

?

SELINUXTYPE=targeted

仅保护最常见/关键的网络服务,其他不限制

主要软件包:selinux-policy、selinux-policy-targeted、libselinux-utils、libselinux-utils、conreutils、policycoreutils

?

SELINUXTYPE=mls

提供多层次、全面的安全防护策略

需扩展软件包:selinux-policy-mls、msctrans、policycoreutils-newrole

?

禁用/启用SELinux机制

方法一:修改kernel启动参数

添加selinux=0为禁用,改为1为启用

方法二:修改文件/etc/selinux/config

设置SELINUX=disabled以禁用

设置SELINUX=permissive宽松模式

设置SELINUX=enforcing强制模式

临时修改:setenforce

1是强制模式,0是宽松模式

?

修改SELinux

  1. 文件的上下文环境值(标签值)

标签值相当于给文件加了一把锁。守护进程也有标签值,该值相当于钥匙,只有锁和钥匙匹配,才能打开文件,读取内容

修改文件标签值的方法

方法1:restorecon –Rv /path/to/dir

方法2:chconn –t 标签值 /path/to/dir

  1. SELinux布尔值

getsebool –a查看所有的布尔值

setsebool –P 布尔值????on????永久修改-P

?

安装setroubleshoot

yum –y install setroubleshoot*

重启后生效

有任何的selinux违规行为,系统都会给出提示和解决方案

如果是图形界面下,屏幕右上角会弹出消息????????可以用sealert –b 查看

如果是字符终端下,可以查看/var/log/message

?

获得SELINUX设置帮助

#man ftpd_selinux

man httpd_selinux

man samba_selinux

有些服务,配置文件中也有说明

vim /etc/samba/smb.conf

?

加密与解密

信息传递中的风险

加密

发送方:明文》》密文

接收方:密文》》明文

算法:加密/解密所使用的转换规则

密钥:加密/解密所使用的指令或代码

?

加密方式

单向加密:加密只能向一个方向进行。可以理解为输出明文数据,加密成乱码。不能将乱码反推回原始明文数据。但是原始的明文数据一致,生成的乱码也是一样的。常用的算法MD5、SHA。可以用于计算文件的完整性和保存加密密码。

对称加密:

非对称加密:

day3-selinux