一直以來,red hat 系的許多教程,都會建議你關閉 selinux。確實,啟用 selinux 可能會造成許多莫名其妙的錯誤。但在實際生產環境,甚至是使用者工作站,red hat 都建議將 selinux 設為 enforcing 模式,因為它在關鍵時候可以成為你系統安全的最後一道防線。
程式是不可信的
技術的發展日新月異,我們的系統安全卻不容樂觀。wooyun.org時不時爆出的各種漏洞,都在提醒我們程式總是存在缺陷的。
傳統的作業系統採用 dac 機制,它針對使用者進行訪問控制,系統會信任使用者執行的所有程式,但往往使用者無法判斷程式是否存在安全問題。
後來,出現了 mac 機制,它以程序為訪問控制的首要目標,通過規則嚴格限制程式執行時可以執行的系統呼叫。
另外,在保密級別較高的地方,根據資源的機密程度結合 mac 又衍生出了 mls 多級安全策略。
我們的主角 selinux 是 mac+mls 的實現方案之一,它最初由 nsa 基於 flask 框架開發,目前主要由 tresys 和 red hat 進行維護。
使用者與隱私
自 1987 年 9 月 20 日,canet 向世界發出第一封 e-mail 為標誌,網際網路正式進入中國大陸。截至 2015 年 6 月,我國網民已達到 6.68 億人。隨著網路的發展,隱私與安全一直是大受關注的話題。現在,隨便什麼應用/**都需要註冊,各種客戶端都提供網路連線功能。在不知不覺中,你的聯絡人,朋友圈都展示在了網上。可以負責任的說,在網際網路面前,我們每個人都沒有隱私。
保護個人隱私是乙個系統工程。它需要可信的硬體/韌體,可信的作業系統,可信的應用程式,可信的網路環境,可信的使用者。
◆硬體方面:x86、arm 體系就是事實的工業標準,但目前沒有可信的第三方機構進行評估。
◆系統方面:盡量使用開源作業系統,open source 可以確保系統沒有惡意行為。
早在 1985 年,美國國防部公布了 可信計算機系統評估標準,該標準將計算機系統分為 a(a1), b(b3 b2 b1), c(c2 c1), d(d1) 四個等級,共7個級別。沒有 selinux 的 linux 和 windows 一樣都處於 c2 級別。
◆應用程式:盡量使用開源軟體,閉源軟體或多或少都會侵犯使用者隱私。
◆網路方面:盡量不訪問/註冊來歷不明的**,盡量不使用公共 wifi。事實上,個人無法控制運營商的行為。
◆使用者方面:使用者對於隱私保護有最重要的作用。俗話說得好,「機器是死的,人是活的「。只有使用者養成了良好的習慣,才能保護好隱私。切勿抱有」我的資訊並沒有什麼卵用「的僥倖心理。
selinux 與隱私保護
selinux 為系統提供了額外的一層保護,能夠在一定程度上防止隱私洩露。這裡提一下基本概念, selinux 是基於標籤的強制訪問控制系統。所有系統資源都包含標籤上下文,只有程序標籤符合訪問物件(檔案/socket/dbus…)的標籤,才允許程序訪問該資源。而標籤又關聯了一系列角色(role),角色又關聯了一系列 selinux user。通過將 selinux user 與 linux user 關聯,該使用者就具有了這些標籤。此時,使用者執行的程式就都處於這些標籤規則的限制範圍了。
在 fedora 中,預設使用者關聯 unconfined_t 標籤,該標籤是無限制的,相當於未啟用 selinux。這主要為了相容性考慮,targeted 規則僅限制網路相關應用。red hat 建議使用者關聯非 unconfined_t 標籤來提高安全性。
1.配置賬戶對映 selinux user。
$ sudo semanage login -a -s staff_u -r s0:c0.c1023 jone2.配置 sudo,指定需要轉換的 role/type。
$ sudo echo"jone all=(all) type=unconfined_t role=unconfined_r all"
>> /etc/sudoers.d/jone
3.對 home 目錄重新進行標記,並重啟。
$ restorecon -r -v /home/jone4.現在你的登陸 shell 就是以 staff_u 使用者執行。
$ id -z staff_u:staff_r:staff_t:s0-s0:c0.c10235.如果你需要執行系統管理操作,可使用 sudo 進行提權,這和原來一模一樣。
$ sudo id -z staff_u:unconfined_r:unconfined_t:s0-s0:c0.c1023廣告
最後,插播廣告。fedora 社群源正在使用 selinux 加固軟體,目前已完成了 sogoupinyin。
安裝 sogoupinyin selinux 模組,禁止 sogou 訪問網路:
$ sudo dnf install sogoupinyin sogoupinyin-selinux $ sudo setsebool -p sogou_access_network=0安裝完 centos mini 後需要做什麼
1.將ip配置成靜態 vim etc sysconfig network scripts ifcfg eth0 onboot yes 開啟網橋 bootproto static 將ip設定為靜態分配的,預設的是 dhcp ipaddr 192.168.214.101 指定ip位址 netmask 2...
Ubuntu 16 04LTS安裝後需要做的事
ubuntu安裝時,一定要拔掉網線,不然系統會卡在時間設定頁面無法進行!1.安裝完成後是沒有root許可權的,可以通過以下方式獲取 keith keith aspire 4745g sudo i sudo keith 的密碼 root keith aspire 4745g sudo passwd 輸...
Ubuntu 18 04安裝後需要做的設定
3 sudo apt get install jayatana 5 restart gnome shell.alt f2 按r回車 6 enable the extension in gnome tweak tool.在擴充套件欄 假設現在在圖形使用者介面,開啟終端,輸入如下命令 sudo syst...