SElinux强制安全

加密与解密技术

CA数字证书服务

?

标准Lunux安全模型

DAC自主访问控制????Discretionary Access Control????所有都对自己的资源负责

典型的DAC应用

9位权限码

ACL

?

SElinux????Security-Enhanced Linux

一套强化Linux安全的MAC扩展模块

美国国家安全局主导开发

SELinux的动作机制

集成Linux的动作机制

集成到Linux内核——2.6及以上

操作系统提供可定制的策略、管理工具

?

策略

?

SELINUXTYPE=targeted

仅保护最常见/关键的网络服务，其他不限制

主要软件包：selinux-policy、selinux-policy-targeted、libselinux-utils、libselinux-utils、conreutils、policycoreutils

?

SELINUXTYPE=mls

提供多层次、全面的安全防护策略

需扩展软件包：selinux-policy-mls、msctrans、policycoreutils-newrole

?

禁用/启用SELinux机制

方法一：修改kernel启动参数

添加selinux=0为禁用，改为1为启用

方法二：修改文件/etc/selinux/config

设置SELINUX=disabled以禁用

设置SELINUX=permissive宽松模式

设置SELINUX=enforcing强制模式

临时修改：setenforce

1是强制模式，0是宽松模式

?

修改SELinux

1. 文件的上下文环境值（标签值）

标签值相当于给文件加了一把锁。守护进程也有标签值，该值相当于钥匙，只有锁和钥匙匹配，才能打开文件，读取内容

修改文件标签值的方法

方法1：restorecon –Rv /path/to/dir

方法2：chconn –t 标签值 /path/to/dir

1. SELinux布尔值

getsebool –a查看所有的布尔值

setsebool –P 布尔值????on????永久修改-P

?

安装setroubleshoot

yum –y install setroubleshoot*

重启后生效

有任何的selinux违规行为，系统都会给出提示和解决方案

如果是图形界面下，屏幕右上角会弹出消息????????可以用sealert –b 查看

如果是字符终端下，可以查看/var/log/message

?

获得SELINUX设置帮助

#man ftpd_selinux

man httpd_selinux

man samba_selinux

有些服务，配置文件中也有说明

vim /etc/samba/smb.conf

?

加密与解密

信息传递中的风险

加密

发送方：明文》》密文

接收方：密文》》明文

算法：加密/解密所使用的转换规则

密钥：加密/解密所使用的指令或代码

?

加密方式

单向加密：加密只能向一个方向进行。可以理解为输出明文数据，加密成乱码。不能将乱码反推回原始明文数据。但是原始的明文数据一致，生成的乱码也是一样的。常用的算法MD5、SHA。可以用于计算文件的完整性和保存加密密码。

对称加密：

非对称加密：

day3-selinux