首页 > 代码库 > day3-selinux
day3-selinux
SElinux强制安全
加密与解密技术
CA数字证书服务
?
标准Lunux安全模型
DAC自主访问控制????Discretionary Access Control????所有都对自己的资源负责
典型的DAC应用
9位权限码
ACL
?
SElinux????Security-Enhanced Linux
一套强化Linux安全的MAC扩展模块
美国国家安全局主导开发
SELinux的动作机制
集成Linux的动作机制
集成到Linux内核——2.6及以上
操作系统提供可定制的策略、管理工具
?
策略
?
SELINUXTYPE=targeted
仅保护最常见/关键的网络服务,其他不限制
主要软件包:selinux-policy、selinux-policy-targeted、libselinux-utils、libselinux-utils、conreutils、policycoreutils
?
SELINUXTYPE=mls
提供多层次、全面的安全防护策略
需扩展软件包:selinux-policy-mls、msctrans、policycoreutils-newrole
?
禁用/启用SELinux机制
方法一:修改kernel启动参数
添加selinux=0为禁用,改为1为启用
方法二:修改文件/etc/selinux/config
设置SELINUX=disabled以禁用
设置SELINUX=permissive宽松模式
设置SELINUX=enforcing强制模式
临时修改:setenforce
1是强制模式,0是宽松模式
?
修改SELinux
- 文件的上下文环境值(标签值)
标签值相当于给文件加了一把锁。守护进程也有标签值,该值相当于钥匙,只有锁和钥匙匹配,才能打开文件,读取内容
修改文件标签值的方法
方法1:restorecon –Rv /path/to/dir
方法2:chconn –t 标签值 /path/to/dir
- SELinux布尔值
getsebool –a查看所有的布尔值
setsebool –P 布尔值????on????永久修改-P
?
安装setroubleshoot
yum –y install setroubleshoot*
重启后生效
有任何的selinux违规行为,系统都会给出提示和解决方案
如果是图形界面下,屏幕右上角会弹出消息????????可以用sealert –b 查看
如果是字符终端下,可以查看/var/log/message
?
获得SELINUX设置帮助
#man ftpd_selinux
man httpd_selinux
man samba_selinux
有些服务,配置文件中也有说明
vim /etc/samba/smb.conf
?
加密与解密
信息传递中的风险
加密
发送方:明文》》密文
接收方:密文》》明文
算法:加密/解密所使用的转换规则
密钥:加密/解密所使用的指令或代码
?
加密方式
单向加密:加密只能向一个方向进行。可以理解为输出明文数据,加密成乱码。不能将乱码反推回原始明文数据。但是原始的明文数据一致,生成的乱码也是一样的。常用的算法MD5、SHA。可以用于计算文件的完整性和保存加密密码。
对称加密:
非对称加密:
day3-selinux