安全框架原由美国安全局发布 开始整理 令人印象深刻的清单 保护再次安全漏洞
Linux安全专家正在报告越来越多的现实世界安全情况清单,其中美国国家安全局Selinux安全框架包含因其他软件缺陷而造成的损害。显示Linux特征 开始安全度量 开始证明它的价值
美国国家安全局2000年首次发布SELINUS和Linus TORVELDs2002年接受它进入主流内核,但自那以来大部分时间它一直多半为学术兴趣许多Linux管理员先用长文章或教程形式看到Selinux,从全新安全术语表开始selinux系统失灵消息混淆
最近安全漏洞公告新故事:Selinux开机后可以防止攻击者利用全部破坏潜力例举一脆弱点Hewlett-PackardLinux图像打印项目软件允许攻击者执行任意命令root依据公司安全咨询bug,“Redhat企业Linux5,SELinux目标策略默认启动hpsd,阻塞利用这一问题运行任意代码的能力”。
Dan Walsh 红帽SELINU开发者覆盖另一个高射线缓冲上博客samba软件为微软Windows系统提供文件服务器,其漏洞本可使攻击者以root执行命令Selinux写道:「虽然开发者可能利用缓冲溢出,
selinux获取工具、软件集成
SELIux用黑眼圈大打它比本该早点说,ChadSellers,Tresys技术牵头软件架构师LLC在电子邮件访问中表示SELINUS系统更容易使用 并同时保护更多事物工具大有改进,如果有问题,通常很容易修复。”
Tresys保留列表 缓冲新闻selinux页面.Selinux安全故障软件包括Apache网络服务器、Mambo内容管理系统、SendmailMTA和一个常用PHP模块,此外还有HP和Sambabugs
Sellers表示, 用户今天看到越来越多的缓冲量是因为Selinux集成系统上更多软件RHEL5锁定级数 多与默认目标策略
保单保护越来越多 安全特征管理者真不该置身事外所以我对管理员的建议是试一试万一出问题别关Sellers表示:「我们有活跃用户圈,
Selinux是什么
Linux传统安全特征可追溯到UNIX早期UNIX权限相对容易向新管理员解释,但它们无法阻塞较精密系统会捕捉到的某些攻击路线举例说,以root方式运行的任何进程都可读写系统上的任何文件攻击者通过损耗邮件服务器软件获取root可修改系统密码文件,即使邮件服务器在正常操作中从不需要写到文件
SELINUS加进精度访问控制邮件服务器可能需要以root运行,但系统会防止它修改密码文件
斐科克写SELINUS策略HOTO解释性解析SELINux系统可能只允许邮件服务器软件与SMTP端口25上的其他系统脱机连接 。SELINux系统可以把服务器软件处理成“root ” 不同于管理员运行shell登录为“root ” 。如果入侵者破坏服务器软件并启动shell为“root ”,则他或她无法像管理员那样修改程序或配置文件
SELINUS实用使用
SELINUS开发商和RedHat雇员James Morris表示公司聚焦点是从管理员角度实现SELINUS自动化,并前方做更多配置工作,作为分布设计的一部分
Fedora/RHEL使用模型表示策略由系统提供,selinux配置大都集成标准管理工具Morris说,不手工编辑Selinux策略更容易实施网站专用策略管理员可用菜单配置FTP服务器允许或禁止访问用户主目录
向新软件添加Selinux支持也越来越容易,Morris说允许模块化安全策略, 以便配发包件,
新建的“政策向导”工具开发者可方便地为新应用添加Selinux策略应用系统资源合法使用有常见模式-例如服务器应用可能绑定端口,从配置文件读取并写入日志文件向导帮助开发者用SELINUS兼容方式编码模式Tresys还提供开发Selinux政策IDE工具和其他工具
Sellers表示:「让第三方应用运行Selinux通常不难,
红帽产品营销主管Andrew Cathrow表示,更多SELINU工具开发者转换为工作管理员更多功能Morris说,“这是开发者专注点,我们希望终端用户高层次抽取,只有到时才能作为最后手段”。
Cathrow补充道题工具系统日志文件显示更多帮助信息取代SELinux专用代码,日志现在清晰显示失败应用,系统调用它试图实现
未来方向
SELinux验证服务器端应用时,桌面仍是一个挑战用户不一定信任所有复杂桌面软件并存取所有数据,即使根据传统UNIX式渗透模型,用户所有文件都拥有相同的所有权。
红帽Colin Walts写道 保护'root'不是最高优先级, 桌面上所有有趣的数据归用户所有 。
Selinux目前已成为服务器应用固态保护层Cathrow表示:「第一年(RHEL5可用性),
