我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:2019年全年资料内部公开36码 > 强制访问控制 >

应用强制访问控制管理网络服务(下)

归档日期:05-28       文本归类:强制访问控制      文章编辑:爱尚语录

  上文中,我们介绍了什么是强制访问控制机制以及如何启动SELinux。本文我们将继续介绍如何管理网络服务的文件系统访问权限。

  如上述的例子中,SELinux配置文件中的SELINUXTYPE选项告诉init在系统启动过程中载入哪个策略,这里设置的字符串必须匹配用来存储二进制策略版本的目录名,例如,用户使用MLS(Multi-Level Security,多级安全)策略,因此用户设置SELINUXTYPE=MLS,确保用户想要内核使用的策略在/etc/selinux/config文件中。在上述例子中,活动策略默认为目标策略(targeted),由第10行给出所示。

  SELinux系统上安装的每个策略在/etc/selinux/目录下都它们自己的目录,子目录的名字对应于策略的名字(如,strict,targeted,refpolicy等),在SELinux配置文件中就要使用这些子目录名字,告诉内核在启动时载入哪个策略,在本章中提到的所有路径都是相对域策略目录路径/etc/selinux/[policy]/的,图1是在最新的Fedora16系统上/etc/selinux/目录的简单列表输出:

  如上面所看到的,在系统上安装了一个策略目录:targeted。注意目录和策略子目录都用selinux_config_t类型进行标记的。

  semodule和semanage命令管理策略的许多方面,semodule命令管理可载入策略模块的安装、更新和移除,它对可载入策略包起作用,它包括一个可载入策略模块和文件上下文消息,semanage工具管理添加、修改和移除用户、角色、文件上下文、多层安全(MLS)/多范畴安全(MCS)转换、端口标记和接口标记,关于这些工具的更多信息在它们的帮助手册中。

  每个策略子目录包括的文件和文件如何标记必须遵守一个规范,这个规范被许多系统实用程序使用,帮助管理策略,通常,任何设计优良的策略源树都将正确安装策略文件,下面是targeted策略目录的列表输出,它就是一个典型,如图2所示:

  如上所示:一个正在运行的系统不需要src/目录,它包括了安装的策略源树,要么是示例策略,要么是应用策略源树,实际上单片二进制策略文件存储在.policy/目录中的policy.[ver]文件中,这里的[ver]就是策略二进制文件的版本号,如policy.19,这就是系统启动时载入内核的文件。

  在SELinux中,有一个非常重要的概念称为布尔变量,它通常用来在运行时改变SELinux的部分策略,而不需要重新定义和改写策略文件。并且,这些布尔变量在很大程度上也与许多网络服务的访问权限相关,比如对网络文件系统(NFS)的访问,对FTP的访问等等。

  通过列出系统中的布尔变量,可以知道与布尔变量相关的策略的开关情况(on或者是off状态),从而知道相关网络服务的访问权限状态。可以使用如图3命令进行罗列:

  上述结果中的SELinux boolean列列出了系统中的布尔变量名称,Description列则给出了该布尔变量的开关状态。比如,如下的布尔变量表示的意思是阻止ftp用户访问用户目录:

  如下命令可以仅仅给出布尔变量的开关状态,而不给出他们的具体描述信息,如图4所示:

  并且,通过该命令可以查看具体的布尔变量(一个或者多个)的开关状态信息,如下所示:

  使用setsebool命令可以设置布尔变量(改变其开关状态)。下面给出具体的例子来对其进行详细介绍,该例子表明如何来对httpd_can_network_connect_db布尔变量来进行状态设置,该布尔变量控制httpd服务器进程能否连接后台数据库系统:

  (1)使用getsebool命令查看该布尔变量的缺省状态,表明该变量的缺省状态是off,即不允许httpd进程访问后端数据库服务器:

  (2)使用setsebool命令改变该布尔变量的状态,从而使得httpd进程能够访问数据库服务器:

  (3)上述状态改变只是暂时性的,一旦系统重启,该变量状态将改变回初始状态,因此,可以使用如下命令永久性改变状态:

  对于大多数网络服务来说,各种网络服务缺省情况下都能使用具有各自的服务类型的文件,比如nfs服务可以使用nfs_t类型的文件,samba服务可以使用cifs_t类型的文件。然而,由于NFS和CIFS这两个共享文件系统的特殊性,HTTP服务和FTP服务都不能使用标记这两个文件系统类型的文件,因此,在实际使用过程中,用户需要对控制他们的布尔变量进行显式的状态修改,如下所示:

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

本文链接:http://ravynhart.com/qiangzhifangwenkongzhi/106.html