selinux 安全性
Linux世界中很少有什么事情能引起强烈反响,例如SELinux ( Linux的安全性增强)。 Susan Lauber希望在LinuxCon上减轻这种React并向人们展示光芒。 在她关于SELinux的演讲中,Lauber将讲解所有标签 ,并讲授SELinux基础知识,并描述为什么它必须在您的系统上运行。
在这次采访中,她告诉了我们更多。
您是如何参与提供SELinux培训的?
从早期的PC支持和系统管理开始,我就对计算的安全性感兴趣。 一旦我开始教授各种网络操作系统,人们的兴趣就变得更加浓厚。 我什至在我的硕士论文中提到了在操作系统级别上对强制访问控制的需求。 那是9年前! 作为红帽认证讲师,我抓住了学习和教授其所有安全跟踪课程的机会,包括SELinux管理和策略编写课程。
尽管SELinux有很多好处,但它在许多人中的声誉并不逊色。 除了着色书之外 ,如何宣传SELinux?
许多人担心他们不了解的东西。 提供越来越多的示例,说明SELinux的配置方式和保护方式-即使使用默认的出厂设置,也使越来越多的管理员更有信心将SELinux保持在执行模式。 另外,许多管理员对SELinux可用性的早期感到不满意。 他们应该再试一次! 今天,已发布的“有针对性”政策对许多人有效。 不需要太多复杂的策略编写和大量工具来协助简单的策略修改。 实际上,大多数更改都可以使用管理工具进行,甚至可以集中管理。 从安全管理方面来看,值得注意的是,即使使用默认的目标策略,将SELinux置于强制模式下也可以防止许多漏洞的破坏。 我将链接到多个Red Hat Security Blog帖子,其中详细介绍了SELinux如何减轻最近和非常公开的零日漏洞的破坏。
开发人员可以做些什么来确保他们的软件不是SELinux在系统上关闭的原因?
软件开发人员需要从早期设计阶段考虑安全性。 并非每个人都会按照预期或设想的方式使用软件。 遵循跨平台建议,例如验证输入,必要时进行身份验证以及在文件权限中不要过于开放,这也将有助于使您的应用程序在强制模式下与SELinux一起使用。
我记得当最初出现各种工具包来创建用于手机的Android应用程序时,新开发人员会简单地选中所有复选框,以允许他们将来可能会做的任何事情。 我仍然认为我的单人纸牌游戏不需要访问我的联系人列表!
甚至默认的SELinux策略也将允许有意义的事情。 如果我的应用程序正在创建Web内容,那么我要做的就是确保所生成的内容已应用了httpd_sys_content标签。 另一方面,如果我的应用程序尝试读取和发布/ etc / shadow文件的内容,那么我希望SElinux压缩该请求。
如果应用程序仅读取和写入其拥有的文件,则SELinux应该允许该默认策略,即使应用程序无限制运行也是如此。 现在有许多SELinux策略编写工具可以帮助您为应用程序创建策略,但是很可能您可以使用现有的策略模块,而无需进行任何修改。
您最喜欢为开源项目做些什么?
毫无疑问,这是社区。 作为一名旅行培训师,我的大部分社交生活都是虚拟的,开放源代码社区全天候24/7开放。 我可以贡献一点,也可以深入探讨特定主题。 总会有一些新东西要学习和探索。 新想法来自世界各地,创新在昼夜不停地发生。 如果我没有新技术内容所需的大脑细胞,那么我总是可以从我选择的任何文化中找到有关地区烈酒或音乐的信息。
您今年不能错过的LinuxCon会议有哪些?
如果您对容器和安全性有任何兴趣,请查看Dan Walsh的两个演讲。 他是一位出色的演讲者,是我参考的图画书的作者, 也是 SELinux的作者。 我在Red Hat峰会上听到了两个演讲,它们很棒。
Rikki Endsley重复了OSCON的Willie Nelson演讲。 我听到了很棒的事情,并且我计划这次也赶上。
我最主要的技术重点是讨论与安全管理相关的所有问题,但除此之外,我对Atomic Host,Kubernetes和Apache Hadoop感兴趣。 我希望能引起一个“保护大数据的安全”的演讲,我也将在西雅图参加Linux安全峰会的第一天。
演讲者访谈
本文是针对LinuxCon,CloudOpen和ContainerCon North America 2015的演讲 者访谈系列的一部分。LinuxConNorth America是一个活动,“开发人员,系统管理员,架构师和所有级别的技术人才聚集在一堂,共同进行教育,协作和解决问题-进一步开发Linux平台。”
翻译自: https://opensource.com/business/15/8/linuxcon-2015-interview-susan-lauber-selinux
selinux 安全性
629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
