linux 有审核策略,SeLinux策略管理.docx

SeLinux策略管理

第13章.管理SELinux系统213.1 SELinux配置和策略管理文件213.1.1.SELinux配置文件(/etc/selinux/config)213.1.2.策略目录3.安装的布尔变量文件3 应用程序和文件安全上下文3. SELinux用户定义4.SELinux文件系统413.2.SELinux对系统管理的影响413.2.1.管理用户4 添加普通的非特权用户4.添加特权用户5.修改用户角色613.2.2.理解审核消息6.常见的SELinux审核消息6.AVC消息8.使用Seaudit查看审核消息913.2.3.问题修复：与文件有关的客体标记9.与文件有关的客体标记命令9.自动重新标记1013.2.4.管理多个策略1113.3.小结1113.4.练习11参考：/art/200810/94193.htm第13章.管理SELinux系统SELinux系统从许多方面看起来感觉和其它Linux系统一样，Red Hat Enterprise Linux(RHEL)就是一个SELinux系统，但它增强了安全性，由于多种原因，一些之前能够好好工作的东西现在被破坏了，或者变得不能工作了，要修复这些问题可能需要额外的管理程序，一个正常的操作现在可能需要更多的步骤，在这一章中，我们讨论SELinux影响到Linux管理员的哪些地方，以及如何实现常见的重要的任务。13.1 SELinux配置和策略管理文件SELinux包括了允许管理SELinux特定增强的文件，包括策略，这包括设置当安装了多个策略时使用哪个策略，标记管理文件和SELinux应用程序和实用程序的配置文件。注意：本章中涉及到的文件都是基于Fedora Core 4(FC 4)系统的，域RHEL 4相比较可能稍微有所不同，而且FC 5中肯定又有很多增强了，因此我们会标明不同的地方。13.1.1.SELinux配置文件(/etc/selinux/config)SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略，以及系统运行在哪个模式下，我们可以使用sestatus命令确定当前SELinux的状态，清单13-1显示了一个config文件的例子：清单13-1./etc/selinux/config文件的内容1? # This file controls the state of SELinux on the system.2? # SELINUX= can take one of these three values:3? #?????? enforcing - SELinux security policy is enforced.4? #?????? permissive - SELinux prints warnings instead ofenforcing.5? #?????? disabled - SELinux is fully disabled.6? SELINUX=enforcing7? # SELINUXTYPE= type of policy in use. Possible values are:8? #??????? targeted - Only targeted network daemons areprotected.9? #??????? strict - Full SELinux protection.10 SELINUXTYPE=strict这个文件控制两个配置设置：SELinux模式和活动策略。SELinux模式(由第6行的SELINUX选项确定)可以被设置为enforcing，permissive或disabled。在enforcing模式下，策略被完整执行，这是SELinux的主要模式，应该在所有要求增强Linux安全性的操作系统上使用。在permissive模式下，策略规则不被强制执行，相反，只是审核遭受拒绝的消息，除此之外，SELinux不会影响系统的安全性，这个模式在调试和测试一个策略时非常有用。在disabled模式下，SELinux内核机制是完全关闭了的，只有系统启动时策略载入前系统才会处于disabled模式，这个模式和permissive模式有所不同，permissive模式有SELinux内核特征操作，但不会拒绝任何访问，只是进行审核，在disabled模式下，SELinux将不会有任何动作，只有在极端环境下才使用这个模式，例如，当策略错误阻止你登陆系统时，即使在permissive模式下也有可能发生这种事情，或我们不想使用SELinux时。警告：在enforcing和permissive模式或disabled模式之间切换时要小心，当你返回enforcing模式时，通常会导致文